Security

資安事件回應不只是資訊部門的事

2018-01-22 | 作者：游家倫 Allen Yu

Categorized: Security

分享文章:

健全企業資安事件回應體系 IBM Resilient 平台扮要角

“當企業爆發資安事件時，不只是技術的問題需要解決，更要考慮這些事件對業務與企業品牌形象造成的全面傷害。需要一套可提供回應方式的標準處理流程，協助所有相關人員、高層營運團隊等等，立即進行妥善的處理，將對公司營運的衝擊與傷害降到最低。”

近年來，儘管各企業不斷強化資安防護機制，但似乎仍然無法降低資安事件發生，尤其是預算充足的大型企業，更易成為駭客組織的攻擊對象。如 2016 年底 Dropbox 爆發高達 6800 萬用戶帳密被盜、2017 年 Yahoo 坦承有 30 億用戶資料遭竊，而全球最大共享圖片網站 Imgur，亦發生遭駭客入侵事件，導致高達近 170 萬用戶資料外流。前述三大資安事件的共同點，都是在多年前即遭到駭客入侵，但可能當時沒有發現入侵行為或後續處理方式不當，才會讓受害狀況如雪球般的愈滾愈大。

傳統企業資安防護策略著重在防禦、偵測等兩大步驟，卻忽略後續回應的重要性，因此當發現惡意程式入侵之後，只能仰賴專業技術顧問的協助。然而現今資安事件影響層面非常廣泛，以即將在 2018 年實施的歐盟通用資料保護規則（EU General Data Protection Regulation，GDPR）為例，只要網站或服務會提供歐盟民眾瀏覽使用，或者是會搜集、處理和利用歐盟公民資料的企業或組織，都得強制遵守前述法規，違反的話將會遭致鉅額罰款。

換句話說，當企業爆發資安事件時，不只是技術的問題需要解決，更要考慮這些事件對業務與企業品牌形象造成的全面傷害。需要一套可提供回應方式的標準處理流程，協助所有相關人員、高層營運團隊等等，立即進行妥善的處理，將對公司營運的衝擊與傷害降到最低。而 IBM 推出的 IBM Resilient 事件回應平台，是一個將人員、流程和技術進行緊密整合的自動化平台，能夠立即針對安全警示採取動作、提供寶貴的情報與事件脈絡，讓安全團隊以最有效率的方式進行處理與回應。

融合多國相關法規與行業標準協助企業因應資安威脅

IBM Resilient 事件回應平台 (Incident Response Platform, IRP) 的最大優勢，在於以安全事件為導向，通過內置的行業標準和最佳實踐，將回應流程整體細化、分解，視嚴重程度與牽涉到的部門，通知 IT、業務部門主管、法務、行銷公關、甚或上報到總經理、董事會等各相關人員採取行動，並對流程進展狀況進行監控，幫助企業快速進行安全事件的應急回應。特別是在確認攻擊類型後，IRP 會以企業 IT 資產為單位，將回應流程進行細緻的分解，並下發給IT維運部門，分解後的回應流程可以大致分為人工和自動兩個大類。

目前 IBM Resilient 事件回應平台採用半人工、半自動化的設計，兩種方式結合後可使得整個處理進度變得更加可控，尤其該平台對整個事件回應流程的定義是完全開放，企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程，將企業需要的流程與標準自訂到 Resilient 的 IRP 平台上，並作為可重複運用的資產，在不同企業或子公司之間進行共用。

對於公司規模不大，但是產品銷售或服務都遍及世界各國的企業而言，要精準掌握各國法規非常困難。而 IBM Resilient 事件回應平台已預先內建多國相關法規與最佳實踐，例如台灣的個資法規定也已經在內建資料庫之內，可協助企業快速釐清法規問題，同時給予相關的處理建議，作為企業處理資安威脅事件的參考。

整合資安威脅設備強化事件回應能力

IBM Resilient 事件回應平台可與市面上多品牌的 Threat Intelligence 威脅情報進行整合，包含 IBM X-Force Exchange、Symantec DeepSight、FireEye iSight、VirusTotal 等，讓資安人員在調查事故過程中，可輕易了解目前被攻擊的來源以及其相關的攻擊資訊，以有效阻止資安事故的發生。

此外，IBM Resilient 事件回應平台和 IBM QRadar 可透過搭建虛擬環境，和企業內部驅動的滲透/眾測兩種方式，進行資安事件回應的演練。虛擬環境本身可由 IBM QRadar 對某些規則的演練，或者測試網路環境的搭建來完成，而在滲透/眾測情況下，企業可透過外包的方式，邀請滲透測試團隊駐場測試，或者是在協定測試基線的前提下（不觸碰業務資料等）進行眾測，對企業網路進行攻擊演練與測試。

IBM QRadar 是 IBM 安全免疫體系的大腦，也是終端、資料庫、身份管理等對應安全設備間聯動的核心。在SOC/SIEM 定位攻擊及受影響資產及其狀態等資訊後，每個確認攻擊的詳細資訊都可發送到 IRP 平台，自動生成並開始啟動事件回應流程。在完成某個攻擊引發的安全事件的應急回應後，整個處理過程的相關資訊，包括對應攻擊類型、回應流程細節、下發和完成時間等資訊，都會被 IRP 平台詳細記錄。

而 IBM Resilient 事件回應平台可以自動將整個回應過程評價量化，並提供相應報表的生成，這除是對安全部門的監督外，也是 IT 維運團隊在回應資安事件的一個具體成果表現。