• 日誌管理與SIEM

    結合認證、授權與身份管理平台,QRadar SIEM 協助企業集中管理內部所有系統、應用程式、資料庫與網路的活動,進行身份識別追蹤及異常檢測,強化企業資訊安全,打造企業內部安全智慧平台。 Read More
  • API管理

    CA API Management 透過結合適用於後端整合、行動裝置最佳化、雲端環境協調和開發人員管理的 API 管理進階功能,成功協助企業應付各類的 API 管理挑戰。 Read More
  • 特權帳號管理與行為側錄稽核

    特權帳號管理系統可以在內部流程控管下提供特權帳號給申請人使用,可自動幫申請者以特權帳號check-out(取出帳密登入)系統,讓申請者完全不知道特權帳號的密碼狀況下登入存取系統特權帳號,使用完畢後系統自動將密碼變更降低風險,也可以在申請時間到期拒絕使用者再登入使用。使用者的行為都會被錄影。 Read More
  • 資料庫、應用程式與檔案稽核、監控解決方案

    IBM Guardium Database Activity Monitoring (DAM) 資料庫活動監控與稽核 IBM Guardium for Files 檔案活動監控與稽核 IBM Guardium for Applications 應用程式個資資料遮蔽 Read More
  • 大數據日誌分析平台

    透過快速分析尋找與修正相關業務系統問題 IBM Operations Analytics (IBM SmartCloud Analytic) - Log Analysis 基於大數據Hadoop平台,能讓您快速分析結構化與非結構化資料,以幫助識別、隔離及解決問題。此軟體會整合來自多種來源的資料,包括日誌、事件、度量值、支援文件及問題摘記。 IBM Operations Analytics - Log Analysis 能幫助您:     利用問題診斷專業知識。     運用大數據技術(Big Data)分析以便更快速地識別及解決問題。     改善服務可用性與可維護性。 Read More
  • 大數據問題預測

    IBM Operations Analytics - Predictive Insights 在應用程式、中介軟體或基礎架構問題影響服務之前,便提早偵測到問題。 避免中斷情形,增進應用程式可用性並減少服務品質降低。 執行更快速的主要原因分析,以更有效率地隔離問題。 減少作業成本,而不需使用複雜的服務模型或特殊化技巧。 Read More
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

產品與服務項目

QRadar logo

豐富的QRADAR SIEM 與SOC建置的成功案例與經驗

成功的協助客戶自建 SIEM/SOC 平台、流程

   
Guardium logo 全台最多用戶的資料庫稽防護解決方案
   
CyberArk Logo 特權帳號的領導品牌
   
Symantec 最完整的安全威脅抵禦產品線 , 主機存取管理
   
 BigFix Patch更新派送的成功率高達98%
 
   
bmc logo IT服務管理最佳品牌
   
SailPoint logo 身份與存取管理
   
   

IBM Optim Test Data Management 的 Data Masking Solution 能最佳化與自動化測試資料管理程序。預先建置的工作流程及隨需應變服務,能有助進行連續測試及敏捷的軟體開發。並且能幫助開發和測試團隊使用實際、大小適中的測試資料庫或資料倉儲,加速應用程式的開發。

IBM Optim Test Data Management 可協助組織:

1. 資料庫隱碼 (Data Masking)

  • 在測試資料庫建立測試資料,並且去識別化或對資料做隱碼。
  • 在資料進入大數據(Hadoop)平台時,將資料去識別化或對資料做隱碼。

2. 快速測試資料建立 (Test Data Management)

  • 在應用程式、資料庫及作業系統之間使用單一可擴充式企業解決方案
  • 簡化測試資料管理程序,幫助減少成本並加快應用程式交付。
  • 以隨需應變的方式為開發和測試人員分析和重新整理測試資料
  • 建立類似正式作業的環境,以縮短反覆運算測試週期、支援連續測試,以及加快上市時間。
  • 根據商業原則保護機密資料,並幫助降低風險(這些風險發生於於測試、訓練和開發環境中)。
  • 根據您的營運規模建立測試資料庫:您可以開發比較小型、比較實際、可以精確地反映正式作業資料的子集,以加快測試速度。
  • 測試結果自動化,找出隱藏錯誤:執行測試後,軟體會分析資料「之前」與「之後」的映像檔,自動偵測差異,並將結果匯出成報告,省下您數小時的手動檢查時間。
  • 輕鬆維護及重新整理測試環境:精簡的測試資料庫,管理及維護起來也很方便,有助縮短測試週期,加快部署新應用程式。
  • 縮短測試週期、加快上市時間:迅速精確的測試能及時導正應用程式,加快產品上市。

測試資料管理的步驟:

Optim TDM essentials

IBM Optim Test Data Management與Rational的軟體品質管理結合:

Optim and Rational

 

Optim TDM Process

QRadar – Splunk的智能SIEM

現今,許多大型企業都意識到網路資安監控和響應中檢測到的威脅的重要性。 這些組織的安全分析師負責報告組織內發生的日誌和網路活動。目前有多種解決方案可使用日誌管理產品提供日誌數據報告。

SplunkQRadar都提供日誌管理平台。 Splunk日誌管理平台在搜索和報告方面提供了出色的通用日誌管理功能。 而QRadar的重點是易於使用,準確,快速的威脅檢測和響應,透過內建的安全智能(關聯規則,威脅情資與UBA),並整合人工智慧(AI)與自動化簡化安全操作。

Splunk在跨領域執行簡單查詢方面非常出色,例如商業分析、數據查詢。 但是,Splunk在安全領域的功能較為陽春,原因是安全的問題是具極其複雜,需要持續的精進安全偵測能力與手法。 因此,安全分析師透過Splunk去理解從擁有一個可以從多個領域使用這些安全數據並在其高級威脅檢測平台中關聯這些數據的平台是非常不易。 而QRadar使得複雜的安全用例易於實現和維護,因為QRadar它本身更專注於安全領域。

而現在,QRadar讓Splunk的客戶變得更容易管理安全問題了! QRadar安全智能平台提供了一種創新工具,可透過QRadar App for Splunk(用於Splunk數據轉發的IBM QRadar應用程序)檢索從一個或多個Splunk Instances到QRadar部署的轉發日誌。

帶有Splunk的QRadar如何幫助?

Splunk日誌數據以原始系統日誌格式轉發到QRadar,QRadar的安全智能平台能夠獲取Splunk的原始數據,透過QRadar的日誌分析引擎發送,以便從500多種類型的設備中進行解析和關聯。

對於分析師有效降低風險並準確檢測和響應威脅,他們需要配備協同工具以支持整個響應生命週期。

QRadar可在整個攻擊週期內提供準確的即時洞察,幫助您更快地預測和檢測威脅。 因此,您可以更快地響應,減少威脅的影響並更快地恢復。

整合QRadar和Splunk

QRadar App for Splunk Data Forwarding此整合提供了配置從一個或多個Splunk Universal或Heavy Forwarders自動轉發日誌到QRadar部署的功能,並包括Splunk日誌源的自動同步。透過整合兩個平台,我們可以了解在指定的Splunk Instances上監視哪些源類型。

QRadar的安全智能平台允許快速入門和管理Splunk日誌源,以透過現有的設備支持(DSM)和相關的自定義屬性對收集的數據進行解析和關聯。 透過QRadar進而顯示了分析就緒數據,在QRadar的日誌活動中豐富了企業上下文和安全分類。


Splunk QRadar

你準備好進行無縫整合了嗎?

QRadar App for Splunk的獨特性和強大之處在於它與Splunk平台的無縫整合,可提供即時日誌收集,快速啟動多個日誌來源,實現高級自動分析和事件日誌關聯,無需手動配置各個設備日誌來源。

為什麼您應該在下次發生重大入侵事件前 先行善用網路流量資料

 從網路安全的觀點來說,企業組織最後還是登上新聞版面的原因就在於自身無法偵測、遏止與控制入侵事件。入侵事件無法避免,但企業組織是否會登上新聞版面,還是取決於自身偵測入侵行為的速度,以及因應這類狀況的方式。

企業組織也應謹記,發生入侵事件除了會導致罰鍰/懲處和聲譽受損外,今日的敵人就是實際、進階與持續的威脅。敵人站穩腳步後,即會攻佔您的基礎架構網路,確保陣地。

為了成功協助保障企業組織安全,您必須徹底瞭解網路上發生的事情。也就是說,您應該集中收集與分析來自特定類型來源的資料。(這類收集作業)目標是獲取可據此採取行動的資訊,並提供給安全分析師。

網路流量資料

網路流量資料是重要的類型資訊,能夠提供特定內容,為打造「智慧型資安」架構提供堅實基礎。在檢視上述某些特定內容前,我們先來想想網路流量資料是什麼。

網路流量資料是從兩個主機之間,針對某個時間範圍(也稱為間隔)內觀察到的一連串封包擷取(透過路由器這類的網路裝置)而來。接下來,該資料會被轉送到流量收集器,以供分析之用。

唯一流量是由下列七個關鍵欄位組合定義而成:來源位址、目的地位址、來源埠號、目的地埠號、通訊協定類型、服務類型(ToS)及輸入邏輯介面(路由器或交換器介面)。系統會追蹤這些欄位,如果發現這些欄位的任何封包值為不重複的特定值,便會建立新的流量記錄。

就轉送給流量收集器的資訊來說,擷取深度取決於產生上述流量記錄的裝置,以及用來匯出資訊的通訊協定(netflow v5與IPFix)。流量檢查可在OSI模型的不同層執行,範圍從Layer 2(資料連結)到Layer 7(應用程式)。檢查的層級越多,提供給安全分析師的資訊就越有意義(越能據此採取行動)。

日誌事件資料和網路流量資料間的主要差異,在於事件(通常是日誌項目)發生於單一時間點且可更改。相形之下,網路流量紀錄無法更改,且其中描述的是具備特定期限的狀況(這類狀況可持續數分鐘、數小時或數天,視工作階段內觀察到的活動而定)。舉例來說,web get要求可能會在一分鐘內拉下多個檔案和影像,而觀看電影Netflix的使用者,其工作階段可能會持續一小時以上。

 

現在,讓我們進一步探討前述的「特定內容」。

輕鬆部署不費力

網路流量資料的部署輕鬆不費力,因為網路本身會在少數幾個傳輸點(例如網際網路邊界)彙總大部分的流量,而且變更傳輸點時不易發生配置錯誤。

一切連接網路,全數無所遁形

從安全角度來說,我們可以完全假設,即便不是全部,但凡是對企業組織運作而言相當重要的裝置,大部分都是在網路上作業(與互動)。這些裝置由個人(工作站、行動裝置等等)主動控制,或大多自主運作(伺服器、安全端點等等)。

此外,攻擊者總是藉由假造安全日誌和存取日誌的方式試圖移除攻擊痕跡,但他們無法竄改網路流量資料。

最可靠的能見度,網路絕不說謊

安全調查相關資料的收集來源通常來自於下列兩種類型:

來自端點(工作站、行動裝置等等)、伺服器(LDAP、DNS、Web等等)、網路裝置(防火牆、入侵偵測系統、Proxy伺服器等等)的日誌,記錄方式是使用代理程式或遠端記錄。

來自網路基礎架構(路由器、交換器等等)的網路流量資料。

日誌的問題在於系統總是會連接到企業組織無法從中收集資料的裝置(無法使用代理程式或遠端紀錄)。即使設有安全政策進行控管,僅有獲得核准的裝置可以連接到網路,但重要的關鍵是能夠確保沒有惡意使用者將未受管理的裝置(或服務)連上網路。

此外從過去的經驗來看,惡意使用者會主動試圖規避主機代理程式和遠端紀錄,因此主機的日誌資料不見得正確。對於未受管理的裝置,最直接的裝置相關資訊來源就是網路。

最後,網路資料的明確定義是由通訊協定,但通訊協定的更新速度極為緩慢。不過日誌資料的情況就不是如此,其格式多半紀錄不完善、綁定特定版本且未經標準化,容易頻繁變更。

自動減少誤判的最有效方法

「防火牆/ACL允許」通知不代表確實通訊成功。相對地,網路流量資料可用來確認通訊是否成功。如果能夠在通訊失敗時發出警示,即可大幅減少誤判,進而為安全分析師省下寶貴時間。

不僅限於基本的網路流量資料

傳統的網路流量技術,原本的用途是讓網路管理者能夠監控網路,並精準找出網路壅塞情況。近來,安全分析師發現網路流量資料(例如來源與目的地IP位址、埠號、服務類型及流量方向)還能協助他們找出網路入侵。不過,這類基本的流量資料本就不是為了偵測最縝密的攻擊(APT)而設計。這類資料無法提供所需的深入可見度,例如網路傳輸檔案的雜湊、偵測到的應用程式(而不是埠號)等。傳統網路流量資料欠缺這種程度的可見度,因此難以提供可據此採取行動的資訊給安全分析師。

隨著攻擊行動日趨縝密,企業組織應該要使用專門設計的解決方案深入詳查檢查特定通訊(例如從網際網路傳入的資料流量),這類解決方案能夠:

執行詳細的封包剖析與分析(採取線速和被動模式);

提供各種豐富的網路流量資料(透過等標準通訊協定,可定義如何格式化流量資料,並將該資料從匯出器傳送到收集器)。

流程中產生的豐富網路流量資料,可用來擴增相關警示的優先順序。該資料還可新增到事件中,加速警示處理的研究與解決過程。

為什麼企業組織應充分善用網路流量資料?

因為只要妥善運用,上述內容可讓安全分析師在調查事件時充分掌握情況。網路資料可提供額外與立即的深入可見度,是可讓您透視環境的「水晶球」。更重要的是,網路資料還能充分提供協助,偵測出最縝密的攻擊行為(如果只靠日誌資料進行偵測調查,可能會錯失這類攻擊)。如果能夠協調使用網路流量資料,以及從某些角度來看較不可靠的日誌資料,企業組織就可以及早妥善偵測攻擊,進行徹底調查。簡言之,網路流量資料有助於為企業組織提供其他方式,掌握縝密無比的攻擊行為,因此不應遭到忽略。

IBM QRadar SIEM 如何為您的企業組織提供協助?

準備萬全,可識別異常行為和其他外洩指標,藉此偵測及因應入侵事件的企業組織就不會登上新聞版面。

建立流量資料和事件資料之間的關聯,偵測出無法單靠日誌識別的威脅。

可提供網路流量、辨識Layer 7應用程式,而且還能掌握每個階段作業的起頭。

讓過去隱藏的威脅和惡意行為無遁形,攻擊者無法隱身在您的網路中。

即時分析網路資料,發現攻擊者的蹤跡。

提早暴露潛在的安全威脅,以免對企業組織造成損害,這類威脅包括:網路釣魚電子郵件、惡意軟體、資料洩漏、水平擴散、和其他應用程式濫用行為,以及合規落差。

AI攻擊與AI防禦的對決

人工智慧正在改變網路安全遊戲,62% 網路安全專家認為,駭客已經開始用 AI 來進行網路攻擊,透過AI提高攻擊效率,而企業更需要透過AI技術來面對駭客的攻擊,當AI防禦遇上AI攻擊,「以子之矛,攻子之盾」正在資安界上演。

利用 Watson AI技術進行認知安全,人工智慧讓網路更安全

隨著網路攻擊的數量和複雜度增加,人工智慧 (AI) 正在幫助資源不足的資訊安全部門領先威脅。而IBM Watson for Cyber Security認知安全是一種先進的人工智慧 (AI),利用各種形式的人工智慧技術(包括自然語言處理、機器學習演算法和深度學習網路),隨著時間變得更強大且更聰明。

IBM Watson for Cyber Security旨在擴展人類智慧、在每一次互動中學習,以主動偵測、分析及提供對威脅的可行洞察,使分析師能夠更有信心且以更快的速度回應威脅。

建構更聰明的安全免疫系統

智能

IBM Watson for Cyber Security透過自然語言處理人類為自身建立的非結構化資料,從數百萬個研究檔、部落格和新聞事件中策劃威脅情報,並將其與結構化資料相關聯,最後將數十億個資料構件 透過機器學習和深度學習技術進行訓練,因此IBM Watson for Cyber Security增進了其「理解」網路安全威脅和網路風險的知識,能即時發掘新洞察,幫助您對抗數千個每日警示雜訊,從而大幅縮減回應時間。

準確

IBM Watson for Cyber Security 收集洞察並使用推理來識別威脅之間的關係,例如惡意檔案、可疑的 IP 位址或內部人員,通過豐富的威脅調查和即時情報,能連接其他技術未發現的隱藏資料點,並在每一次互動中學習,以連接威脅之間的點,並提供切實可行的洞察,以及準確地識別威脅及惡意活動。

快速

IBM Watson for Cyber Security消彌了耗時的研究作業,並提供精心策劃的風險分析,減少了資訊安全部門做出重大決策所耗費的時間量。

透過IBM Watson for Cyber Security自動化的分析,僅需費時數分鐘,從而使資訊安全部門能夠以高達快 60 倍的速度回應威脅。因此資訊安全部門可以更有信心且以更快的速度來回應威脅。

整合既有的投資

IBM Watson for Cyber Security 能無縫整合企業既有已投資之ArcSight 與 Splunk 或其他相關資安日誌管理軟體, 透過這樣的方式,將這些SIEM或Log Management管理平台上之資安事件,透過IBM Watson for Cyber Security進行分析,以快速辨識出是否有遭受攻擊,大大的減少資安分析人員在分析上的時間,並能將現有的投資發揮至最大效益。

Q Watson 3

最新的分析技術

IBM Watson for Cyber Security 除了採用各種先進的人工智慧技術(包括自然語言處理、機器學習演算法和深度學習網路)以外,還運用了MITRE ATT&CK 高級滲透測試攻擊矩陣框架來呈現攻擊階段與攻擊態勢。

Q Watson 1

美國非營利性組織 MITRE 的ATT&CK(對抗戰術、技術與常識)是在公共和私營公司、學術機構和政府機構的幫助下建立的一個全球性網路對手戰術和技術知識庫。該知識庫能夠闡明威脅,並以通用的語言和框架來定義,從而跨越多學科的障礙以推動安全性的改進。通過在許多不同的組織中收集各種各樣的攻擊檢測分析,用戶可以更好地檢測到攻擊者,進而建立彈性和欺騙性策略,幫助客戶快速適應和應對網路攻擊。

MITRE ATT&CK 是一套針對網路對手行為的資料庫模型,旨在反映敵對方生命周期內的各個階段以及其所能掌握的目標平台,適用於理解已知的對手行為可能帶來的安全風險、規劃安全改進、以及驗證防禦措施是否能夠帶來與預期相符的收效等工作。資安分析人員可以利用 ATT&CK 得知攻擊者在企業網路攻擊時目前所進行到的階段,以便採取相關行動。

Q Watson 2

網路安全 AI 全面啟動

瞭解這些組織如何利用人工智慧的威力來提升其網路安全狀態。

溫布頓網球錦標賽

溫布頓與 IBM Security 合作來保護其數位化活動,防止在此著名體育賽事期間遭到數以千計的網路攻擊。

嘉吉銀行

在金融服務是最被設定為目標的行業的情況下,嘉吉銀行透過部署人工智慧安全解決方案,採取了積極主動的方法來保護客戶的資料。

瑞士證交所

瑞士證交所採用AI技術打造智能的安全營運中心。

應用程序(Process) 對安全分析師而言是一個非常重要的日誌來源,安全分析師能透過這些日誌進行駭客或惡意程式行為的偵測、獵捕與追蹤,不管它是在內網或Internet.

微軟所提供傳統的程序(process)日誌並不足夠,只有基本的資訊像是 “A new process has been created, Process Name: notepad.exe, process ID: 123, ….”,因此在問題發生時,往往難以得知該程序(process)的呼叫關聯性、前因後果,讓安全分析師難以找出問題的根源。

透過IBM QRadar SIEM能有效進行網路威脅狩獵(Threat Hunting),不管是端點(PC) 惡意程式Malware的或是主機(Windows Server)的駭客攻擊。

範例1: 檢查程序的雜湊值(Hash)

當我們有了程式的雜湊值(Hash),例如MD5, SH1, 等,我們就能夠檢查該程式是否為已經的惡意程式 , 例如透過 VirusTotal IBM X-Force 將該雜湊值(Hash)上傳分析.

下圖是透過IBM QRadar SIEM偵測到一個惡意程式的執行事件:

QRadar ThreatHunting 1

透過VirusTotal 檢查發現,該程序被45家防毒軟體判定為惡意程式。

QRadar ThreatHunting 2

透過QRadar SIEM能夠搜尋出任何跟這個惡意程式有關的使用者或電腦我們也能夠追蹤該惡意程式是由那個父程序(parent process)所執行,也就是從那個使用者所執行的程式。

QRadar ThreatHunting 3

範例2: 偵測程序的網路連線行為

了解程序與那些網路進行連線是非常重要的 , 因為它能知道到底這些惡意程式的擴散行為或外洩狀況.

如果您只有SIEM,通常就只能針對防火牆的進出日誌進行分析,但您不知道該IP的電腦裡到底是那些程序在進行連線.

有些程序像是Explorer.exe是不應該建立任何的網路連線. 你能透過QRadar SIEM去搜尋任何有關Explorer.exe的網路連線,一旦發現Explorer.exe有在連線時,代表該Explorer.exe被植入或替換成惡意程式.

QRadar ThreatHunting 4

範例3: 分析程序的呼叫關係順序

我們可以透過QRadar SIEM去分析這些惡意程式的行為,例如駭客透過Metasploit Windows Command Shell payloadshellcode駭客工具進行入侵:

QRadar ThreatHunting 5

在上圖的惡意程式 (openMe.exe)在受害端的電腦被開啟 , 我們在QRadar SIEM裡會發現下面這些事件:

QRadar ThreatHunting 6

上圖我們會看到一系列的程序活動執行順序, openMe.exe被執行,它的子程序(child process) cmd.exe. 然後父程序(parent process) openMe.exe建立了一個網路連線. 我們也可以透過QRadar SIEM的規則去主動偵測這樣的行為.

範例4: 惡意程式對程序注入(Injection)

一個程序(process)可以建立一個執行緒(thread)在另一個程序(process)之中. 這是網路犯罪分子用來隱藏惡意程式的一種眾所皆知的技術。一旦發生這種情況,您不會在標準Windows任務管理器(Task Manager)或安全日誌中看到惡意程序。
下圖使用Meterpreter攻擊程式將惡意程式注入到另一個程序之中:

QRadar ThreatHunting 7

如果發生,我們將在QRadar SIEM中發現該事件:

QRadar ThreatHunting 8

網路威脅狩獵(Threat Hunting)的效益

透過QRadar SIEM進行威脅狩獵(Threat Hunting)的情境中,還包含許多不同的檢測,例如探測網路環境中橫向滲透、密碼滲透 Credential (Hash) dumping、具名管道的假冒(Name Pipe Impersonation)PowerShell 的利用、特權的提升、帳號的建立..等,這些都是駭客常用的入侵手法。

因此透過這些方法去追蹤端點與主機的攻擊或惡意程式行為,可以運用在不同的環境,像是ATM、個人電腦、伺服器,還有像是工業電腦、機台主機與POS機,當事件發生時,能有效的縮短鑑識時間,快速找出入侵的管道,並將損害降到最低。