親愛的網友:
為確保您享有最佳的瀏覽體驗,建議您提升您的 IE 瀏覽器至最新版本,感謝您的配合。
回聯合新聞網 RSS App 粉絲團 Line 我的新聞 udn family

IBM威脅情資平台 搶先駭客洞悉一步

2018-07-13 02:17經濟日報 蔡尚勳

進階持續威脅攻擊(APT)令人聞之色變,當同業遭受APT攻擊,身為資安人員最想得知的就是入侵指標(Indicators of Compromise, IoC),能據以阻擋攻擊來源以及修補內部資安漏洞。但光是得知入侵指標還不夠,結合對駭客集團攻擊工具與手法的分析得到更完整詳細的威脅情資,並明白該立即採取何種因應之道,才能徹底根除威脅來防範下一個受害者的出現。

對資安分析師來說,去外部訂閱各種威脅情資來源(feeds)如最新弱點、惡意程式等,再加以分析研究並強化內部網路安全是例行性的日常工作。根據研究機構ESG的調查,65%企業會訂閱外部威脅情資來源來協助進行安全決策。平均訂閱4~5種情資來源是常態,也有些企業安全分析師訂閱多達10幾種。然而這些情資來源有些來自於開源碼社群所貢獻,資安分析師可能無法在大數據中辨識出有用的資訊,或是當情資來源之間的訊息有衝突時,該選擇信任哪一方的資訊?再加上如果沒有系統性的統整相關資訊,要手動將相關資訊歸納分析可能都要花上數小時,遑論分析以及採取補強動作。

IBM X-Force Exchange首席架構師 Ron Williams 分...
IBM X-Force Exchange首席架構師 Ron Williams 分享IBM X-Force Exchange雲端威脅情報平台,如何取用、共用威脅情報,並讓企業資安分析師據此採取行動。 台灣IBM/提供

自動化威脅情資平台提供聯合防禦自動化

IBM X-Force Exchange能夠加以分析各項指標得到具場景脈絡的高階威脅情資,並立刻建議因應行動,包括將情資傳送到IBM安全免疫系統中樞QRadar或透過業界開放標準的格式將情資整合到其他第三方資安設備。IBM X-Force Exchange首席架構師Ron Williams指出,高階威脅情資對企業十分重要,透過瞭解攻擊者的意圖,像是是無差別攻擊或是目標式攻擊,有助於協助企業經營者作出關鍵的決策,畢竟在遭受攻擊的當下,每多一分鐘都會把企業暴露在更高的風險下。

IBM X-Force Exchange是一個具備高協同性的威脅情資平台,擁有三大功能:研究、協同合作、建議行動。

功能一:研究

IBM X-Force Exchange每日分析掃描大量數據包括1,700多萬封垃圾郵件、320億個網頁以辨識惡意程式來源位置與垃圾郵件來源,並透過Quad 9的免費DNS服務來解析釣魚網站與惡意網站。同時監看全球資安代管客戶2萬多個網路設備的運作,能對金融業、零售業與醫療等產業提供深度的產業安全洞察。藉由機器學習與自動化的技術分析海量資料,而機器無法判讀的部分則由安全團隊人工分析,有效降低誤判率。此外,威脅情資資料庫可即時提供最新情資,每5~10分鐘更新到IBM X-Force Exchange訂閱用戶端,提供高精準度的威脅情資。

相較於單純入侵指標只有惡意來源IP、網域或弱點等資訊,經過關聯分析所使用的惡意程式攻擊工具,可得到高階威脅情資,能提供更詳細完整的攻擊過程說明,包括得知攻擊者是鎖定什麼產業、想從何種系統上偷取什麼資料、利用哪些系統弱點、有沒有其他攻擊來源IP、是否透過Twitter發動攻擊指令等。更重要的是威脅情資能將被感染的證據(Host Indicators)如登錄機碼、受感染的程式、事件日誌或記憶體證據(Fingerprint)等,送到端點偵測回應(EDR)軟體中去清查電腦主機是否遭受感染並關閉服務,企業藉此可將系統上的惡意行為斬草除根。而上述相關高階情資都是被儲存在集合(Collection)當中,集合有如專為資安分析師所設計的線上編輯器,可按照既定的欄位來描述情資,讓所有人一目了然。

功能二:協同合作

在網路犯罪世界中,駭客在暗網論壇分享攻擊目標與弱點,現在好人也必須團結合作。IBM X-Force Exchange讓資安人員可以將任何發現或調查中的惡意IP、惡意檔案雜湊(Hash)值等情資記錄在集合中,可以自由分享出來讓更多人補充。也可設定閱讀權限或透過匿名等方式來發布,或者設定僅為企業資安團隊內部使用,作為內部工作平台。

功能三:採取行動

得到威脅情資之後,最重要的就是採取因應行動。IBM X-Force Exchange可提供即時阻擋、整合到資安營運系統中、威脅研究與獵捕等三種應用。首先,IBM X-Force Exchange可透過SDK整合既有資安設備或僅提供阻擋列表讓企業自行匯入等兩種方式即時阻擋惡意IP。若對執行效能有高度需求的企業,可採取SDK整合的方式,每5~10分鐘就與IBM X-Force Exchange全球資料庫同步,即時下載最新惡意IP並透過防火牆、IPS、網路閘道器等即時阻擋。

其次,在集合當中描述了許多Host Indicators,這些可以匯出成為一個符合STIX/TAXII標準的情資來源,而QRadar或其他支援STIX/TAXII標準的SIEM平台可以訂閱此情資來源,進而將情資來源內容寫在規則引擎中去檢查內部環境主機、行動裝置是否遭受感染,接著整合EDR進行清除或整合修補工具以更新弱點,將情資整合到既有資安營運環節中。第三,資安分析師想去研究駭客有哪些新的攻擊或可能的新弱點時,也可將IBM X-Force Exchange作為威脅獵捕的平台,用IBM X-Force Exchange提供的API將查詢到的結果帶回到自己內部環境中去研究。

STIX(Structured Threat Information eXpression)是由MITRE組織所開發出來的標準語言,用來呈現網路威脅中的結構化資料以便於協同合作;TAXII(Trusted Automated eXchange of Indicator Information(TAXII™)是STIX的傳輸工具,作為服務以及訊息交換,讓網路威脅資訊的分享不受產品、服務或組織所限制。

威脅情資平台評估四大要點

IBM X-Force Exchange平台支援整合第三方威脅情資,並且能將情資整合為單一情資來源再統一匯入SIEM平台中,簡化情資的管理。若情資來源之間訊息有所衝突時,X-Force的資安專家能立即給予判定及回饋。目前IBM X-Force Exchange的情資來源資料庫已開放所有研究人員使用,每月可免費搜尋5,000筆的可疑IP位址或檔案Hash值等資料,適合小型企業或校園研究使用。

市場調查機構Grand View Research指出,全球威脅情資市場至2025年將以每年17.4%的複合成長率快速發展。因此在評估威脅情資平台時,IBM建議需考量以下四要素:

一、是否有龐大的威脅情資資料庫以及背後具備可靠的分析以支持資料庫

二、是否有可信的資安專家協助解答情資相關問題

三、產品整合是否能透過業界開放標準直接介接,而不需耗時另寫程式串接

四、所分析出的情資是否誤判率夠低

網路攻擊敵暗我明,威脅情資平台是協助資安分析師縮短事件調查時間,完整地將內網環境中可疑行為斬草除根的最佳利器。

IBM X-Force Exchange首席架構師 Ron Williams 與...
IBM X-Force Exchange首席架構師 Ron Williams 與IBM全球首席資安架構師 李承達(左)。 台灣IBM/提供

A- A+

相關新聞

技嘉推出AMD EPYC處理器高密度伺服器2018-07-11
新望太陽光電變流器 領先業界獲VPC驗證2018-07-10
佳毅出口棧板 經濟高效率獲客戶好評2018-07-04
DEEP FORCE與飛利浦合作 將內建智慧相簿2018-05-22
打造北市為亞洲創新創業最適發展城市2018-07-18
Vicor新推DCM電源模組 優化穩壓輸出2018-07-11
台灣精品辦電競巡廻賽 大馬吉隆坡起跑2018-05-03
C2C電商佔交易量近5成 台灣跨螢幕時代來臨2018-06-11
中科院與英國Easat公司簽合作備忘錄2018-07-19
R&S展示3項IP技術新應用2018-06-20
體驗當市長 「解密科技寶藏」倒數中2018-07-18
精通室內導航 智慧時尚破解北車迷宮2018-05-11
台版Uber 誕生 TaxiGo 獲千萬投資2017-07-12
普利司通旗艦新胎 濕地操控有亮點2018-07-17

熱門文章

炎亞綸擔任膳魔師一日店長 粉絲互動0距離2018-07-21
JELLICE膠原三肽 寫婦聯會不老傳說?2018-07-21
樺龍上府 良辰吉時歡慶動工2018-07-21
與世界接軌 圓夢計畫啟航記者會2018-07-21
台糖生技深化軟實力 航行新南向2018-07-21
建築師葉世宗:下錯處方 怎期待治好病2018-07-21
海基會台商子女夏令營 體驗台灣人文之美2018-07-21
高雄榮總 加馬刀治療中心揭牌2018-07-21

商品推薦

商品推薦

留言


Top