親愛的網友:
為確保您享有最佳的瀏覽體驗,建議您提升您的 IE 瀏覽器至最新版本,感謝您的配合。
回聯合新聞網 RSS App 粉絲團 Line 我的新聞 udn family

IBM威脅情資平台 搶先駭客洞悉一步

2018-07-13 02:17經濟日報 蔡尚勳

進階持續威脅攻擊(APT)令人聞之色變,當同業遭受APT攻擊,身為資安人員最想得知的就是入侵指標(Indicators of Compromise, IoC),能據以阻擋攻擊來源以及修補內部資安漏洞。但光是得知入侵指標還不夠,結合對駭客集團攻擊工具與手法的分析得到更完整詳細的威脅情資,並明白該立即採取何種因應之道,才能徹底根除威脅來防範下一個受害者的出現。

對資安分析師來說,去外部訂閱各種威脅情資來源(feeds)如最新弱點、惡意程式等,再加以分析研究並強化內部網路安全是例行性的日常工作。根據研究機構ESG的調查,65%企業會訂閱外部威脅情資來源來協助進行安全決策。平均訂閱4~5種情資來源是常態,也有些企業安全分析師訂閱多達10幾種。然而這些情資來源有些來自於開源碼社群所貢獻,資安分析師可能無法在大數據中辨識出有用的資訊,或是當情資來源之間的訊息有衝突時,該選擇信任哪一方的資訊?再加上如果沒有系統性的統整相關資訊,要手動將相關資訊歸納分析可能都要花上數小時,遑論分析以及採取補強動作。

IBM X-Force Exchange首席架構師 Ron Williams 分...
IBM X-Force Exchange首席架構師 Ron Williams 分享IBM X-Force Exchange雲端威脅情報平台,如何取用、共用威脅情報,並讓企業資安分析師據此採取行動。 台灣IBM/提供

自動化威脅情資平台提供聯合防禦自動化

IBM X-Force Exchange能夠加以分析各項指標得到具場景脈絡的高階威脅情資,並立刻建議因應行動,包括將情資傳送到IBM安全免疫系統中樞QRadar或透過業界開放標準的格式將情資整合到其他第三方資安設備。IBM X-Force Exchange首席架構師Ron Williams指出,高階威脅情資對企業十分重要,透過瞭解攻擊者的意圖,像是是無差別攻擊或是目標式攻擊,有助於協助企業經營者作出關鍵的決策,畢竟在遭受攻擊的當下,每多一分鐘都會把企業暴露在更高的風險下。

IBM X-Force Exchange是一個具備高協同性的威脅情資平台,擁有三大功能:研究、協同合作、建議行動。

功能一:研究

IBM X-Force Exchange每日分析掃描大量數據包括1,700多萬封垃圾郵件、320億個網頁以辨識惡意程式來源位置與垃圾郵件來源,並透過Quad 9的免費DNS服務來解析釣魚網站與惡意網站。同時監看全球資安代管客戶2萬多個網路設備的運作,能對金融業、零售業與醫療等產業提供深度的產業安全洞察。藉由機器學習與自動化的技術分析海量資料,而機器無法判讀的部分則由安全團隊人工分析,有效降低誤判率。此外,威脅情資資料庫可即時提供最新情資,每5~10分鐘更新到IBM X-Force Exchange訂閱用戶端,提供高精準度的威脅情資。

相較於單純入侵指標只有惡意來源IP、網域或弱點等資訊,經過關聯分析所使用的惡意程式攻擊工具,可得到高階威脅情資,能提供更詳細完整的攻擊過程說明,包括得知攻擊者是鎖定什麼產業、想從何種系統上偷取什麼資料、利用哪些系統弱點、有沒有其他攻擊來源IP、是否透過Twitter發動攻擊指令等。更重要的是威脅情資能將被感染的證據(Host Indicators)如登錄機碼、受感染的程式、事件日誌或記憶體證據(Fingerprint)等,送到端點偵測回應(EDR)軟體中去清查電腦主機是否遭受感染並關閉服務,企業藉此可將系統上的惡意行為斬草除根。而上述相關高階情資都是被儲存在集合(Collection)當中,集合有如專為資安分析師所設計的線上編輯器,可按照既定的欄位來描述情資,讓所有人一目了然。

功能二:協同合作

在網路犯罪世界中,駭客在暗網論壇分享攻擊目標與弱點,現在好人也必須團結合作。IBM X-Force Exchange讓資安人員可以將任何發現或調查中的惡意IP、惡意檔案雜湊(Hash)值等情資記錄在集合中,可以自由分享出來讓更多人補充。也可設定閱讀權限或透過匿名等方式來發布,或者設定僅為企業資安團隊內部使用,作為內部工作平台。

功能三:採取行動

得到威脅情資之後,最重要的就是採取因應行動。IBM X-Force Exchange可提供即時阻擋、整合到資安營運系統中、威脅研究與獵捕等三種應用。首先,IBM X-Force Exchange可透過SDK整合既有資安設備或僅提供阻擋列表讓企業自行匯入等兩種方式即時阻擋惡意IP。若對執行效能有高度需求的企業,可採取SDK整合的方式,每5~10分鐘就與IBM X-Force Exchange全球資料庫同步,即時下載最新惡意IP並透過防火牆、IPS、網路閘道器等即時阻擋。

其次,在集合當中描述了許多Host Indicators,這些可以匯出成為一個符合STIX/TAXII標準的情資來源,而QRadar或其他支援STIX/TAXII標準的SIEM平台可以訂閱此情資來源,進而將情資來源內容寫在規則引擎中去檢查內部環境主機、行動裝置是否遭受感染,接著整合EDR進行清除或整合修補工具以更新弱點,將情資整合到既有資安營運環節中。第三,資安分析師想去研究駭客有哪些新的攻擊或可能的新弱點時,也可將IBM X-Force Exchange作為威脅獵捕的平台,用IBM X-Force Exchange提供的API將查詢到的結果帶回到自己內部環境中去研究。

STIX(Structured Threat Information eXpression)是由MITRE組織所開發出來的標準語言,用來呈現網路威脅中的結構化資料以便於協同合作;TAXII(Trusted Automated eXchange of Indicator Information(TAXII™)是STIX的傳輸工具,作為服務以及訊息交換,讓網路威脅資訊的分享不受產品、服務或組織所限制。

威脅情資平台評估四大要點

IBM X-Force Exchange平台支援整合第三方威脅情資,並且能將情資整合為單一情資來源再統一匯入SIEM平台中,簡化情資的管理。若情資來源之間訊息有所衝突時,X-Force的資安專家能立即給予判定及回饋。目前IBM X-Force Exchange的情資來源資料庫已開放所有研究人員使用,每月可免費搜尋5,000筆的可疑IP位址或檔案Hash值等資料,適合小型企業或校園研究使用。

市場調查機構Grand View Research指出,全球威脅情資市場至2025年將以每年17.4%的複合成長率快速發展。因此在評估威脅情資平台時,IBM建議需考量以下四要素:

一、是否有龐大的威脅情資資料庫以及背後具備可靠的分析以支持資料庫

二、是否有可信的資安專家協助解答情資相關問題

三、產品整合是否能透過業界開放標準直接介接,而不需耗時另寫程式串接

四、所分析出的情資是否誤判率夠低

網路攻擊敵暗我明,威脅情資平台是協助資安分析師縮短事件調查時間,完整地將內網環境中可疑行為斬草除根的最佳利器。

IBM X-Force Exchange首席架構師 Ron Williams 與...
IBM X-Force Exchange首席架構師 Ron Williams 與IBM全球首席資安架構師 李承達(左)。 台灣IBM/提供

A- A+

相關新聞

術前對照人臉掃描 五官置換「預」見美麗2018-11-15
全面啟動!服務型機器人聚焦商場與醫療應用2018-11-16
交通部推動科技觀光 創新應用服務競賽起跑2018-11-16
桃園青年政策搶先看!青年事務局影音開播2018-11-14
160家法國科技新創 明年一月齊聚CES2018-11-12
科技政見345 徐欣瑩強攻竹科與中小企業2018-11-15
iM短影躍身金馬獎 唯一指定短影音平台2018-11-16
u‑blox推內建Wi‑Fi車輛追蹤裝置2018-11-15
能耗視覺化 u-blox強強聯手再創新2018-11-14
雙11後遺症?調查六成購物族買到空間不足2018-11-15
網奕醍摩豆智慧教育系統 打造AI智慧學校2018-11-15
台印體感交流MOU 高雄新創拓新南向商機2018-11-15
擁抱資料 政府攜手民間「開放」新未來2018-11-15
熊市之後:兔基社群虛擬貨幣未來的新出路?2018-11-15
iMobile Mind提倡BYOD新方案 吸引美國加速器組織關注2018-11-17
訊連推Adobe專用版AI藝術風格插件2018-11-15
技嘉推出兩款經濟型G481高速運算伺服器2018-11-14
工業局科技教育暨創新產業成果展 秀新創科技2018-11-15
母嬰市場低迷?「弟弟寶」平台創造新藍海!2018-11-09
玩「iM短影」滑手機賺現金讓你一拍上癮!2018-11-09
世界物聯網大會 台灣峰會發佈白皮書 2018-11-09
佐臻智慧眼鏡亮相NGMN IC&E 20182018-11-08
人人有功練!兔基社群破同溫層降區塊鏈門檻2018-11-07
餐飲智慧零售iMvending(販賣中) 貼近需求2018-11-05
刷臉最強!訊連在美奪台灣AI臉部辨識第一2018-11-04
智慧製造競賽頒獎百萬業界搶才絕佳機會2018-11-07
國際區塊鏈NEM落腳台灣 人才教育接地氣2018-11-02
陳盈棋出任物聯網電信商優納比台灣區總經理2018-11-01
u-blox推多重無線電與閘道器模組系列2018-11-01
Secutech 2019聚焦鏈結IoT x AI + Security2018-10-17
AI應用人才遍地開花 TibaMe與勞動部合作開班2018-09-22
茂勝「神奇一號」 拓展東京奧運商機2018-11-15
霹靂幣 秒速交易引爆商機2018-09-17
台灣應全面性前瞻布局下一個黃金十年 2018-11-12
互動資通攜金融業推交易雙向互動簡訊2018-10-31
JPlay發行虛幣鏈結電競產業實現生態系2018-11-01
洞悉未來數位人才的卓越五力2018-11-02

熱門文章

大亞集團與臺南高工簽署產學合作意向書2018-11-17
高雄夢時 愛 Sharing愛分享2018-11-17
家庭用水要潔淨 屋內水管先洗淨2018-11-17
iMobile Mind提倡BYOD新方案 吸引美國加速器組織關注2018-11-17
APEC期間台菲巴紐攜手 打造稻米產品文創園區2018-11-17
台北建材家具展 買氣爆棚2018-11-18
蓋德科技 湘台論壇贏大單2018-11-18
Hotelpoispois獲英國旅遊評比 亞洲最佳精品旅店2018-11-17

商品推薦

商品推薦

留言


Top