Guardium

  • IBM安全產品線全解讀 聯動一切的QRadar

    IBM安全產品線全解讀  聯動一切的QRadar

    原創 2016-09-27 Martin安全牛

    201110月,網路安全公司Q1 LabsIBM3440萬美元的價格收購,Q1 Labs旗下的明星”SIEM產品QRadar20082012年處在Gartner魔力象限的SIEM領導者地位)也自然被IBM收入囊中,並納入其安全產品線之列。

    QRADAR news1

    很多人仍有這樣一個誤區:不像IBM Watson那樣高大上QRadar仍舊只是一個進行日誌分析和事件管理的工具。其實則不然。

    不只是SIEM

    IBM安全對其安全產品線進行梳理,進而提出的安全免疫系統中,QRadar處於安全智慧,也是中心的位置。其本身包含SIEM、日誌管理、漏洞管理和風險管理等功能模組。以及,例如,針對QRadar用戶行為分析(UBA)功能擴展,在Security App Exchange由合作夥伴或IBMQRadar開發的61個功能擴展包,以便QRadar產品自身功能性的延展以及和其它廠商的安全設備的聯動。

    QRADAR news2

    Security App Exchange平臺

    由此可見,QRadar目前的所具備的功能,遠不止SIEM這麼簡單。然而,由於QRadar本身是由SIEM起家,所以對於QRadar來講,它首先仍是對日誌的管理,之後才是安全事件,以及對事件回應流程的控制。同時,延伸出對漏洞、風險的管理,以及對用戶行為的分析等。這些都是QRadar的重要能力所在,也是實現和安全設備聯動的基礎。

    QRadar為核心的聯動

    QRadar與傳統SIEM的最大區別,在於傳統SIEM更多的只是針對安全事件進行預警,而QRadar更多的則是透過與安全設備的聯動,即安全設備根據QRadar的指令做出回應動作,使企業整個安全防禦體系可以根據不同安全事件的發現或發生,進行即時動態的防禦規則變更,對安全事件進行自動化的回應。

    QRADAR news3
    安全免疫系統

    當然,QRadar和企業內部網路部署的安全設備的關係,不會像一個糖葫蘆一樣分先後,而更像是司令部,在企業安全防線的後方,搜集戰情,分析戰況,甚至作為指揮中心,調兵遣將。

    1.安全性漏洞的修復——BigFix的聯動

    BigFixIBM2010年完成收購的終端安全管理軟體,其主要是針對桌面和資產進行管理,以及軟體和安全補丁的分發。在漏洞管理方面,QRadar本身有自己的相應模組。但其不同點在於,QRadar會將所有漏洞,如終端、網路設備或應用漏洞等全部彙聚到QRadar的漏洞管理模組中,同時還可以接入一些協力廠商的漏洞掃描工具。而BigFix則除了漏洞的發現外,更側重於對安全性漏洞的修復能力。

    BigFix的安全性漏洞資訊來源分成兩部分,本身BigFix自身有一個漏洞庫,漏洞庫中的補丁都是廠商發佈的官方補丁。另一部分是IBMX-Force平臺提供的威脅情報,比如說某個漏洞的CVE。但是,因為情報出來了不代表就有了安全補丁,所以BigFix本身有部分研究人員去對這些暫時沒有補丁的漏洞開發一些和其它設備聯動,或對相關漏洞利用進行檢查或阻斷的方法。

    在與QRadar的聯動方面,從終端的系統和軟體來看,透過BigFix的用戶端發現存在安全性漏洞後,QRadar會通知管理員這個安全性漏洞的情況以及相應的風險評級,安全管理員可以透過QRadar來告知BigFix是否決定修復;如果決定修復,補丁分發的操作可以在BigFix平臺上一鍵執行。

    QRADAR news4

    BigFixQRadar的聯動

    透過在不同終端安裝用戶端的方式,BigFix能夠收集客戶所有安裝軟體的基本資訊,並將這些資訊定時回饋給QRadar。而QRadar則從伺服器(而不是終端)的視角,將BigFix給出的資訊進行匯總和分類。如果確認某個伺服器缺少某個補丁,那麼QRadar就會透過BigFix及其用戶端實現漏洞的修復。同時,管理員可以透過BigFix平臺對漏洞修復進度進行即時監控。修復完成後,會將修復資訊再次回饋給QRadar的漏洞管理模組,並對系統記憶體在漏洞的資訊根據修復結果進行變更。

    安全性漏洞的修復與否,決定權在管理人員手裡,他們會根據QRadar給出的漏洞風險等級,以及是否會影響到企業業務連續性等指標去具體地權衡。

    2. X-Force——QRadar的主要威脅情報來源

    談到安全性漏洞,勢必要談談威脅情報。目前QRadar的威脅情報源,更多的是透過X-Force平臺的接入,其提供的諸如惡意軟體樣本、惡意IP或惡意DNS庫,CVE資訊等,都是QRadar非常重要的情報來源。

    IBM在全球擁有12個安全運營中心(SOC),很多SOC客戶都與IBM簽有相關協議,一些在運營過程中發現的安全問題,允許IBM共用到X-Force平臺,所以X-Force有大量的安全資料來自IBMSOC,對這些資料的分析和利用無疑成為了IBM安全的重要支撐力量。

    除此以外,還有一些來自本地的網路或安全設備的情報,例如MaaS360IBM實現對移動端設備進行管理的軟體)來確認企業員工是否對其手機進行了越獄或root。這種行為因為增加了被安裝惡意app的風險而被定義為違規事件,那麼作為一項脆弱資產,當這個高風險設備對內部資源進行訪問時,QRadar就會有所警覺。

    QRADAR news5

    MaaS360BYOD安全的支持

    3.網路層動態阻斷——Network Protection XGS的聯動

    BigFix相比,Network Protection XGS(以下簡稱XGS,作為功能類似於傳統的IPS的網路層的安全設備來講,其與QRadar的聯動則因為大量規則的動態配置,反而要複雜一些。與防火牆較為基礎的透過黑白名單進行規則匹配不同,IPS則是透過DPI(深度包檢測),將網路層的資料包進行7層解析,進而發現其中的安全威脅並實現阻斷動作。這也是IPS本身的優勢所在。

    QRADAR news6

    XGSQRadar的聯動

    XGS將其分析得來的資料以日誌的形式接入QRadar後,透過QRadarXGS日誌和駭客可能攻擊的目標設備日誌進行比較分析後,就可以清楚地得知駭客在透過何種攻擊手段攻擊企業網路中的哪部分資產,並在告知企業安全管理員的同時,QRadar會命令XGS和目標設備做出相應動作,同時在網路層和目標設備的訪問這兩個點進行阻斷。例如,XGS透過對資料包的解析確定是資料庫伺服器在遭到攻擊,那麼Guardium或者其它資料庫安全產品,就會對資料庫存取控制策略進行動態變更,並同時XGS在網路層對攻擊IP等進行阻斷。

    在發現攻擊的情況下,網路層和受攻擊設備兩個方面,同時進行防禦動作,這個過程也正是IPS資料對QRadar的意義所在。

    除此以外,如果企業透過某個漏洞掃描軟體,發現了某部分資產存在脆弱性,比如說安全性漏洞,但是由於所處行業比較特殊,或者相關廠商還未發佈安全補丁,那麼QRadar也可以根據這個漏洞的利用方式,在XGS上生成特定的規則,以實現對相關漏洞利用請求的阻斷。

    當然,IBM有自己的漏掃產品,AppScan,其作為一個檢測類工具,只能透過黑盒和白盒測試對應用的邏輯漏洞進行掃描,而不再有之後的動作,漏洞的修復需要與BigFix聯動完成,或者結合XGS對相應行為進行阻斷。

    QRADAR news7

    AppScan平臺

    AppScan側重的邏輯漏洞不同,IBM安全在移動端的反欺詐產品Trusteer Mobile,則更多的傾向於是否存在被惡意利用的安全性漏洞,即針對應用的惡意行為做檢測。特別是在金融領域,包括釣魚郵件,惡意url、惡意軟體和惡意網站等,同時Trusteer的惡意樣本庫也會接入X-Force平臺。因為很多漏洞利用的目標在於對特權帳戶的竊取,所以在發現應用漏洞的高危行為後,Trusteer也會透過QRadar與特權帳號管理模組(PIM)進行聯動。

    除了進行漏洞修復的BigFix和在網路層實現動態阻斷的XGS,再談談QRadarIBM的資料庫安全產品Guardium的雙向整合。

    4.資料庫存取控制和帳號許可權變更——Guardium的雙向整合以及和身份管理和認證平臺(IAM)的聯動

    在之前Guardium資料庫安全技術詳解》這篇文章中也有提到QRadarGuardium的雙向整合。Guardium作為資料庫安全這一細分領域的產品,往往在使用上常涉及特權帳號的管理。國內有很多客戶選擇使用堡壘機來實現對帳號及其許可權的控制,以及用戶行為的審計,這個功能IBM也有相應的身份與存取控制產品(PIM)來實現。

    QRADAR news8

    QRadarGuardium的雙向整合

    QRadarGuardium的雙向整合,主要目的在於避免由於錯誤配置和脆弱性資料庫資產所帶來的安全風險。透過Guardium的資料庫活動日誌的即時回傳,QRadar可以將資料庫活動資訊進行上下文環境的關聯分析,識別並阻止攻擊。同時,QRadar也可以命令,將XGS等安全設備分析出的可以IP資訊送給Guardium,並命令其阻斷來自此IP位址對資料庫的存取權限。如果這個IP是某個企業內部人員所使用,那麼對應的帳戶也可以透過QRadarPIM的聯動對其帳號許可權進行調整,並實行更為嚴格的安全性原則。

    例如,某人透過特權帳號登入資料庫(登入後其桌面會自動被PIM錄影),執行查詢語句並獲取相關的資料後,並對資料庫操作記錄進行了清除。Guardium會將其判斷為惡意或攻擊行為,其之後對資料庫的所有操作均會被Guardium阻斷,同時QRadar要求PIM在其登入時加上了雙因數認證的強制要求,同時命令XGS對所有此帳戶常用的終端在登入進企業內網時進行阻斷,並給出相關預警。

    在上面這個例子中,QRadar用戶行為分析(UBA模組是支撐Guardium判定很重要的一個點,UBA本身需要很多規則來對使用者的行為進行判定,判定後QRadar透過對GuardiumXGS以及PIM近乎同時的指令下達,從帳戶,網路接入以及資料庫存取權限三方面對高危行為進行約束和控制,以實現對企業資料安全的保護。

    除此以外,Qradar不但可以與特權帳號管理平臺(PIM)整合,還可以與IBM傳統的身份和認證平臺(IAM)實現整合,為企業提供更加深入地針對帳號和許可權的安全風險分析。例如,發現繞過統一認證平臺對後臺系統的訪問、帳號和許可權的變更、核心帳號的違規共用,以及員工離職變崗後訪問原有崗位敏感性資料等情況。

    QRADAR news9

    除了上面所提到的這些,今年3IBM才完成收購的Resilient SystemQRadar的聯動,則很好的補全了事件回應這一環,使得以QRadar的核心的IBM安全免疫系統真正具備了一個SOC工具所需具備的防禦+檢測+回應這三個能力。

    5.事件回應工單流程的自動化——Resilient System的聯動

    Resilient的事件回應,更多的是考慮一個安全運營中心的整個工作流程,是工單流程的自動化,而不再是像XGSGuardium一樣某個特定領域的安全產品。

    QRADAR news10

    QRadar中整合Resilient System

    安全事件的工單流程是什麼樣子的?這裡可以舉個簡單的例子。

    管理員透過QRadar看到了某個攻擊,包括攻擊本身的公網ip,攻擊者的目標以及發起攻擊所利用的安全性漏洞。出現了安全事件之後,需要進行的回應包括阻斷、漏洞修復等操作,而這些都需要一個工單流程來做。這時Resilient會告訴安全管理員這是一個編號為XXX的安全事件,這個事件的安全風險處於哪個級別,它的責任人是(假設為)小王,需要他對這起事件進行分析和處理。如果這是一個網站的安全問題,小王之後要通知網站管理員小劉。小劉發現是一個安全性漏洞,通知伺服器的運維人員小李在伺服器上打個補丁。小李最後讓小張調用BigFix去進行這個安全性漏洞的修復工作。

    這是一個標準的工單流程,它說明一個安全事件的處理流程,需要不同的人參與進來。

    當然,安全管理員還要判斷這個安全事件的影響範圍,如果影響到企業的客戶,要通知相關部門對其進行賠償和道歉,對於合作夥伴則要告知,對監管部門則要上報。雖然每個國家每個行業對這套流程的標準都不盡相同,但是Resilient也可以處理。同時,這個過程中還有可能涉及到企業外部的供應商,那麼對供應商可以拿到的資料是否有合規上的要求,比如某些業務資料要進行加密或脫敏處理,以及一些用戶隱私的保護,這些都是Resilient所考慮的。

    企業安全管理員透過QRadar發現的安全問題,可以透過Resilient以幾乎自動工單的方式,和相關安全設備進行對接,並透過QRadar對整個工單流程的實施進展進行即時監控。

    QRadarSOC中的定位

    QRadar及其和IBM安全產品線的聯動,而形成的這一集安全防禦、安全檢測和安全回應的安全體系,是否就是一個完整的安全運營中心?IBM認為不是,理由在於QRadar沒有大腦,它目前還無法做到將一切事項自動化,同時這個安全體系仍舊需要安全分析師來進行決策。也就是說,在發生安全事件之後,還是需要人來決定如何處理、回應,而QRadar只能說是SOC裡比較好用的工具之一。

    類似於醫院,即使有血常規、B超、腦部CT等檢查報告,它們也只是輔助醫師對患者的病情進行更準確的判斷,但最終的診斷和處方,還是由醫生本人來確定和開具。最近IBM宣導的認知安全也是如此,雖然它在不斷的學習如何從安全的角度來看待自然語言文本,但其現階段的目標也還只是減少企業安全分析師在技能上的缺陷,以及大幅度縮減其用於安全分析的時間成本,但它還遠不能代替安全分析師來做決斷。

    QRADAR news11

    IBM Watson輔助醫生做出診斷

    不過,可以看到,QRadar2012年進入IBM安全產品線以來,其自身早已不再是傳統的SIEM那麼簡單,而是作為IBM安全免疫體系中真正的核心,統率著整個IBM安全產品線。

    安全牛評
    IBM
    最大的優勢,就是在於對未來趨勢發展的準確把握和判斷,以及IBM對各細分安全領域處於領導者地位的安全廠商進行收購後,對其產品極強的整合能力。透過收購,不僅是從產品類別或功能上對整個IBM安全產品線進行補充,同時還與其它安全產品形成有機的聯動。這無疑成就了IBM安全免疫體系特有的協同效果。

  • IBM新一代資安防護架構 協助企業對抗資安威脅

    作者:Information Security 資安人科技網 編輯部 -04/28/2016

    IBM QRadar 扮資安情報與防禦要角

    伴隨著全球基礎網路服務日益普及,駭客組織發動的攻擊也比過去更為猛烈,根據IBM X-Force 威脅情報季度報告指出,現今企業面臨資安挑戰遠比過去更巨大,不僅有來自於外部的各種攻擊事件,公司內部也因有嚴重資料外洩事件,讓資安人員疲於處理各種 資安威脅,造成企業營運上的沈重負擔。

    根據IBM台灣資安技術協理謝明君長期觀察發現,融合多層次攻擊手法的資安威脅事件正逐漸增加 中。一般而言,企業會從資安設備中察覺新手駭客發動的攻擊事件,當資安人員誤以為資安威脅已清除時,其實早有其他駭客組織利用同樣的漏洞入侵,並且悄悄潛 伏工內部網路之中。一旦資安人員缺乏進行深層事故調查與根本原因分析的概念,將難以發現潛藏於企業內部之中的惡意程式,根據資安報告指出惡意程式平均可在 企業內部潛伏長達1年以上,成為資料外洩事件不斷發生的主因。

    在駭客組織發起的攻擊之外,惡意員工亦是造成資安事件不斷發生的主因。 IBM台灣資安技術協理謝明君發現部分有擁有系統管理員權限的員工,或者有意竊取商業機密的同仁,可能會透過安裝後門程式的方式,以遠端連線方式躲過資安 設備檢查,藉此存取公司內部機密資料,進而造成企業極大的經濟損失。IBM認為要降低資安威脅事件帶來的衝擊,必需要從六大面向著手,才能強化整體資安防 禦體制,保護得來不易的研發成果。

    六大面向著手 強化整體資安防禦體制

    首 先,企業應該要回歸資安基本面,資訊人員需定期安裝修補程式,因為從現今全球各地發生的許多攻擊事件來看,多半都是沒有修補資訊系統存在各種漏洞,才讓駭客組織有可乘之機,並且造成許多嚴重個資外洩事件。因此,IBM台灣資安技術協理謝明君建議企業應該要落實前述資安基本工作,並且建置一套弱點管理系統, 逐步強化自身資安體質,降低駭客入侵的發生機率。

    第二個重點,企業應進行完整的事件搜集,建立內部SOC平台,才能精準掌握機密資料的 存取狀況。資訊人員若沒有進行日誌搜集並做關連性分析時,勢必無法發現前述躲藏在公司內部中的各種惡意程式,導致斥資購買的各種資安設備,無法發揮預期中 的效益,讓公司陷入不斷重複的資安威脅之中。部分企業會購買可提供資安監控與事件回應機制的服務,只是此類服務多半僅能定期提供報表,顯示公司內部中的前 10大攻擊來源、事件類型或流量等資訊,但若資安人員未能據此進一步進行深層調查,將依然無法發現前述多層次的進階攻擊事件,也會導致寶貴資安預算白白浪 費。

    IBM台灣資安技術協理謝明君認為第三面向,則是應該要強化使用者資安意識訓練,減少用戶端因為人為疏忽造成的資安事件。一般而言,政府單位或金融、醫療業等,因受到主管機關要求,較常進行社交工程演練,使用者資安意識較高,自然較少發生資安事件。相較之下,製造業通 常較少進行教育訓練,駭客組織只需要透過釣魚郵件,即可輕鬆攻破資安防護往。從調查結果發現,資安專家均認為培養使用者良好資安意識,是對付資安威脅好投資,所以企業在添購資安設備之餘,也該規劃定期規劃資安教育課程,才可減少必不要的人為疏忽。

    至於第四件重要工作,即是做好特權帳號管理。特權帳號是資訊系統中權限最高的帳號,能存取企業內部的各種重要商業機密,但即使是資安規範嚴格的大型企業,也多半未確實做好職權區分(Separation of duty),或特權帳號的管理不夠紮實,常見到多人共用同一組系統管理者帳號密碼,若有一人離職可能就會造成安全缺口。此種狀況,在中小型製造業中更為明顯,多數資訊人員為了工作上的方便,往往會給維護廠商人員最高系統權限,所以駭客組織只要攻破合作夥伴的防禦機制,便能繞過企業的資安防護網,順利且取各種機密資料。另一個常見問題,便是資安人員沒有做好帳號的生命週期管理,以致於離職員工還能夠利用舊帳號登入系統,IBM認為唯有人事管理系統需能與其他系統連動,才能避免上述狀況發生。

    在勒索軟體大行其道的年代,許多企業的備份工作因不夠完善,或即使有做備份,卻沒有進行復原測試,以致於面對前述事件時,只能被迫支付贖金,避免系統被毀於一旦。為此,建立一套完善備份復原機制絕對有其必要性,有助於減少勒索軟體帶來的衝擊,保護商業機密的安全。

    至於最後一點,則是進行事件稽核記錄,找出異常連線行為。多數資安設備均會提供日誌管理功能,資訊人員若能夠善用日誌管理或資安事件管理系統,針對不同事件稽核記錄進行分析,或者與專業服務廠商合作,由資安顧問協助日誌的判讀,即可盡早早發現可疑行為,降低企業營運的資安風險。

    IBM資安產品線齊全 即時抵抗駭客攻擊

    企 業無法阻擋駭客攻擊,主要是缺乏系統性的資安架構,多數資安人員均是在出現某種資安需求時,僅就該問題規劃相對應的資安架構,很容易造成投資的浪費。 IBM台灣資安技術協理謝明君建議企業應以關鍵資產為核心,先從了解公司最需要保護的系統著手,再藉此擬出資安投資的優先順序,自然可以達到優化工作流程 與保護商業機密的目標。以時下企業關注的BYOD趨勢為例,企業若沒有一套全面性的資安策略,每當有新裝置要進入內網時,便得就重新提出管理辦法,導致員工在使用行動設備或面臨許多管制,反而失開放BYOD的目的便利性。

    IBM台灣資安技術協理謝明君認為企業有一套完整且清楚的資安架構 時,便能夠因應資安趨勢變化,快速調整資安設備部署方式,利用有限預算抵禦內外攻擊。而為協助企業對抗各種資安威脅,IBM早建構一套完整資安產品線,讓 資安人員能夠依照企業營運需求,逐步添購所需的資安設備,保護多年來辛苦累積的研發成果。

    IBM資安架構圖是以IBM QRadar智慧資訊安全解決方案(Security Intelligence Platform)為核心,該平台是結合日誌分析、漏洞管理與掃瞄資料外洩鑑識的 SIEM (Security Information and Event Management)管理平台,可作為小型至大型企業組織安全營運中心內的核心解決方案,透過收集、正規化可用網路資料,與網路資料彼此的關聯性,進而 產生各種有用的安全性情報。

    該平台能收集來自防火牆、虛擬私有網路、入侵偵測系統、入侵防護系統等發生的安全性事件,以及身分識別和存取管理產品及漏洞掃描器的內容資料、應用程式的各種日誌,並且使用企業預先設定好的客製化規則,將些資料整併成為可管理的攻擊事件清單,作為資安人員對抗 駭客攻擊的參考。

    IBM台灣資安技術協理謝明君更進一步說明,網頁服務成為市場主流的狀況下,早已被駭客組織列為首要攻擊目標,特別是多數應用系統存在不少弱點,以致駭客無須花費太多功夫,即可取得各種機敏資訊或客戶資料,進而危及整個企業的安全。而IBM AppScan網頁應用程式弱點掃描軟體可協助資安團隊,測試、稽核開發中或已上線的Web應用系統,檢查是否隱含最新資安威脅,如OWASP Top10、Adobe Flash、JavaScript及AJAX等漏洞,並且能依照企業營運需求,設定全面的應用程式掃描範圍來找出弱點,再依照詳細結果以簡化補救措施。特 別是該軟體提供超過40種立即可用的法規遵循報表,滿足因應PCI、GLBA、及HIPPA等法規要求,大幅降低手動測試可能產生的測試盲點弱點。

    此 外,在行動裝置時代來臨之際,IBM 也有專為企業設計的MaaS360行動管理平台,該平台具備跨平台管理、保護行動設備的功能,如行動設備管理、行動應用程式管理、應用安全、安全郵件服 務、安全應用程式市集,安全檔案共享等。由於IBM MaaS360是一項屬於SaaS的雲端服務,企業用戶無須在公司內部架設伺服器,即可迅速取得保護行動裝置、商業機密安全的公有雲服務,能滿足不同型態 的企業需求。

    為有效掌握全球資安趨勢變化,IBM 亦有匯集多位資安專家而成的X-Force研發團隊,可隨時監控最新威脅趨勢變化,包括漏洞、洩漏、主動攻擊、病毒和其他惡意軟體、垃圾郵件、網絡釣魚及 惡意的網頁內容,並且會主動分析動態網路威脅資料,同時透過與IBM資安設備相互串連的方式,協助企業用戶快速查看威脅、獲取深入分析和脈絡環境、設定安 全事件的優先順序,預防或最小化資安威脅。因此為了大幅增加資安聯防的效益,IBM同時也推出X-Force Exchange為雲端型資安威脅情報分享平台,提供使用者快速研究最新的全球資安威脅、彙整可靠情報,讓企業享有更完善的保護機制。 

  • 資安事件層出不窮 中小企業應加強資安防護

    2014/5/15 資料來源:數位之牆

    近年台灣資安事件層出不窮,造成國民個資外洩、電子商務及金融業營運損失、企業面臨駭客攻擊,更對國土安全形成威脅。為加強台灣中小企業防範資安攻擊事件,經濟部工業局委託工業技術研究院執行「資通訊安全產業推動計畫」,針對台灣資安事件與需求進行調查,並歸納出十大國內資安事件,分析常見資安事件與案例,呼籲企業與個人提升危安意識,並提供資安解決方案,協助企業強化資安防護解決方案,將風險與成本降到最低。

    隨著科技的演變及企業營運模式的改變,資安防護的複雜度也日益增加,導致企業必須投入更多資源在建置資通訊安全,以確保公司機密資料不外洩並維持企業商譽。因此,資安逐漸被列為企業營運重要規劃的一環。然而根據資通訊安全產業推動計畫研究發現,2013年臺灣企業基於資安預算有限,會考量集中投資在優先度評估較高的部份資安方案,但也形成缺少全面性資安防護的窘境,使公司暴露於潛在風險之中,不只使資安事件發生的頻率日益上升,損失金額更是倍增。根據美國網路犯罪申訴中心( Internet Crime Complaint Center,IC3)公布「2013年網路詐騙活動報告」,IC3 所收到的網路詐騙申訴案件自2005年起的23.1萬筆成長到2013年的26.2萬筆,損失金額更從1.8 億美元成長到7.8億美元。

    資通訊安全產業推動計畫主持人黃維中指出:「中小企業應重視投資資安解決方案,台灣有許多優秀的業者提供符合成本效益的資安服務,協助中小企業針對惡意攻擊進行事前預防、事中因應與事後處理。企業應將資安與企業獲利並列為重要營運目標,將資安視為保護公司重要資產的必備工具,才是有效降低風險與避免付出更高代價的最佳方法。」

    經濟部工業局資通訊安全產業推動計畫列出十大常見資安事件與案例,做為中小企業借鏡,期望中小企業能以更積極謹慎的態度面對資安威脅。此外,經濟部工業局資通訊安全產業推動計畫為了協助中小企業縮短資安規劃時程,也推薦台灣優良資安解決方案廠商,與資安廠商資料,期望能使中小企業強化資安體質,提高商業競爭力。

    1.資料外洩--經由內部或外部不適當或未經授權之方式,存取、使用或修改資料,並且會直接或間接地對持有該資料的組織、企業或個人,造成有形與無形負面影響之事件。

    案例:2013年2月,台灣Nokia的5個委外行銷網站遭駭,17萬筆個資被公開,150萬筆存有風險。

    2.進階持續性威脅(Advanced Persistent Threat,APT)攻擊事件--駭客以組織性行動並出於經濟利益或競爭優勢,以超過目標防護能力並具有複雜和多樣性的手法,針對單一企業或機關進行客製化且持續性的攻擊。

    案例:國際駭客組織以微軟RTF程式漏洞,針對台灣企業及政府單位發送夾帶後門的熱門議題(如服貿)電子郵件,以竊取目標機密資料。

    解決方案 : Palo Alto Network  WildFire 沙箱檢測

    3.分散式阻斷服務(Distributed Denial-of-Service Attacks,DDoS)攻擊--駭客藉由分散的攻擊方式,聯合網路上能發動阻斷服務(DoS)的複數主機同時發動攻擊,佔用或耗光目標對象主機或系統的資源或服務,讓系統的可用性降低,導致一般使用者無法正常使用系統或主機所提供的服務。

    案例:2013年5月,台菲漁船槍擊事件引發台菲鍵盤戰爭,台灣遭菲律賓駭客以DDoS攻擊後反擊,台灣在此事件中包含總統府、外交部、國防部、海巡署等網站皆遭到DDoS攻擊,也有部份台灣民營網站癱瘓。

     

    解決方案 : F5 ASM 應用程式防火牆

     

    4.資料庫遭駭--企業或組織存放營運所需資料的資料庫,遭內部或外部不適當或未經授權之方式存取、使用或修改,造成被駭對象有形與無形負面影響。

    案例:2013年5月19日,台灣Groupon網站資料庫遭攻擊,台灣會員數約380萬,其中估計有一成會員的電子信箱帳號及密碼可能被盜。

    解決方案 : IBM Guardium 資料庫稽核與非法阻斷

    5.社交工程郵件詐騙--利用民衆疏於防範的心理,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取用戶系統的秘密。

    案例:2013年5月,駭客假冒健保局名義,以二代健保為誘餌,寄發社交工程郵件給中小企業。刑事局於5月27日宣布偵破,以妨害電腦使用罪將嫌犯移送法辦。

    6.手機或即時通訊息詐騙--針對智慧型手機或平板等智慧型行動裝置植入病毒、木馬等惡意程式;或透過傳送詐騙訊息以存取、複製、刪除行動裝置中的個人資料、帳號密碼;或取得系統權限寄送用戶不知情的付費簡報或撥打高額付費電話;或透過傳送位置、開啟裝置鏡頭攝錄、降低裝置執行效能,或直接竊取目標裝置等,甚至用戶本身遺失裝置,也都屬於此事件的手法。此類事件多造成用戶資料外洩、財務損失、裝置癱瘓或遺失遭竊等。

    案例:2014年4月,因為露天拍賣網設立帳號認證機制,並提供0809認證電話,卻反而被歹徒用來結合LINE詐騙,把不知情的民眾當成網拍賣家人頭,被害人等到警方找上門,或者被買家追殺,才發現自己不小心成了詐騙集團共犯。

    7.惡意程式威脅--所謂惡意程式威脅事件,泛指有心人士刻意撰寫具備惡意企圖的程碼,包含電腦病毒、蠕蟲、木馬、間諜軟體、廣告軟體等種類,造成的影響如破壞系統正常運作、耗盡電腦資料、修改或破壞系統設定、複製或刪除檔案、讓系統當機、竄改程式資料、監控電腦活動等隱私侵害、散佈廣告等。

    案例:2012年4月,出現針對Mac電腦的Flashback木馬程式變種,經由Mac OS X系統的Java漏洞感染,主要目的為竊取個人資料,全球有60萬台Mac電腦感染。

     

    解決方案 : Palo Alto Network  WildFire 沙箱檢測

     

    8.網站(頁)遭駭--網站被植入惡意程式、或被癱瘓無法正常運作、或原本頁面被置換成其他頁面、或網站被藏入導向至特定頁面。

    案例:2013年7月,蘋果電腦(Apple)之擁有600萬會員數的開發者網站遭到入侵,導致部分會員的個資可能外洩。

    9.身分帳密遭盜用--惡意人士透過如惡意程式、社交工程、網站系統漏洞等方式,取得目標對象之帳號密碼的事件。

    案例:2013年10月,軟體業者奧多比(Adobe)在部落格中坦承公司系統遭駭客攻擊,駭客除了取得部分用戶資訊,包含使用者帳戶密碼、姓名、信用卡號碼等重要資訊,也取得Acrobat、ColdFusion等部分Adobe產品的原始碼,個資可能外洩的用戶達290萬。

    10. USB威脅事件--透過藏有惡意程式之USB隨身碟感染目標企業、組織或人員的電腦或裝置,進一步入侵目標對象之系統並竊取機密資料、癱瘓系統。

    案例:某位員工利用傳輸線將手機連上PC的USB port充電,導致原先潛伏在手機裡的惡意程式(DroidCleaner),將惡意檔案傳送到公司的PC設備上。

     

  • 大數據安全需即時智能保護

    2014-3-24

       對於企業來說,快速檢測數據威脅的能力對於防止數據丟失至關重要,然而只有35%的企業表示他們有能力做到這一點。罪魁禍首是誰?是虛擬化的數據來源構成的一個不斷升級的陣列?是隨時隨地的工作習慣?還是終端設備和應用程序的爆炸性增長?總之,世界各地的組織機構發現他們自己沒有駕馭大數據安全的能力。

       在安全行業意識到用大數據來分析複雜、類型多樣的輸入性數據的有效性並尋求一種方式,使其能解決現在的安全的這個問題上,是一個時間的問題罷了。如今,很少能夠聽到那個新的安全產品沒有提到大數據的。安全產品的供應商預言大數據可以獲得安全資訊,事件管理並能滿足企業的需求,那就需要把來勢洶湧的大量數據和新的資訊來源進行分析。

    大數據安全時代的挑戰

       在一項調查中,超過五分之一的被調查者說他們需要一天的時間來識別一個數據威脅,而5%的企業甚至表示這個過程需要花費一周的時間。平均而言,企業識別一個安全威脅的時間達10個小時。幾乎沒有公司能夠對'你是否正遭受威脅?' 這樣一個簡單的問題立刻給出回答。更不用說,'你能阻止威脅發生嗎?'。

       為了在數量巨大,速率更快,種類繁多的資訊湧入時代能夠獲取及時的威脅情報,企業必須分析、存儲和管理這些大的安全數據。不得不說,這些不斷增長的大量事件,以及資產,威脅,用戶和相關數據已經建立了一個挑戰安全團隊的大數據。

       在討論大數據時沒有提到大數據的V是不完整的。

    Volume指的是許多兆兆字元甚至千萬億字元的資訊需要處理。Velocity指的是每秒中能夠接收的大量數據的能力。

    最後,Variety涉及到不同的來源和被送入到大數據​​系統中的傳統和非傳統的數據類型,內容來自社交網站和第三方的威脅情報服務的大數據沒有陷於系統日誌和數據交換格式這樣的老標準之中。

       這三個V在大數據的不同定義中是相對標準的,但是一些定義也包括第四個V:真實性或者可信賴性的數據。對於大多數的數據類型,這是一個無關緊要的屬性,但是對於包含在大數據分析中的各種數據,真實性絕對是應該考慮的事情,這些取決於數據來源。例如,從來自內部路由器記錄的數據交換方式將Facebook狀態更新或發佈在Twitter的狀態有一個更高的準確度的得分。困難在於,和其他的資源比較如何衡量這些資源的重要性,然後再提供上下文進行分析。

    大數據需即時智能保護

       無論是移動設備、雲或是社交媒體平台,現在數據可以產生於任何地方,並每天產生海量的數據。IBM認為,這使得企業不得不放棄數據安全領域傳統的單一邊界,轉而採用多邊界、全方位的方法來維護資訊安全,而這種方法也使安全智能應用更加貼近目標。

        IBM的大數據安全智能係統提供了一種特殊的威脅和風險檢測。這種檢測技術把深度的安全專業知識和對大量的數據的分析見解結合起來。對於前瞻性的企業在安全風險問題上尋求更先進的洞察力,IBM的解決方案(包括IBM旗下的QRader的安全智能平台IBM的大數據平台)提供了一個廣泛性的,綜合性的方法。

       這種方法把對連續性洞察力的即時相關性、大量結構化和非結構化數據的自定義分析和在法院的能力範圍內無法辯駁的證據結合起來。這種結合可以幫助解決高級持續性威脅、造假數據和內部攻擊等問題。IBM通過擴大調查範圍和規模而做出解決方案的目的是回答以前人們可能從來沒有問過的問題,現在可以在多年的活動中分析更多種類的數據,比如DNS交換,電子郵件,文檔,社交媒體數據,全包捕獲數據和業務流程數據等。通過分析結構性的、強化的數據和來自整個企業的非結構性的數據,IBM的解決方案幫助發現了隱藏在一般企業數據背後的惡意活動。

       另外,IBM推出推出針對Hadoop和其他大數據環境的深度安全智能解決方案,特別是InfoSphere Guardium解決方案,它現在能夠為InfoSphere BigInsights 和Cloudera等基於Hadoop的系統提供即時監控和自動合規報告。依靠對數據資源的聯合控制,企業將能夠理解數據和應用的存取模式,防止數據洩露並實施數據改變控制。嵌入式的審核報表功能可以用於在計劃的基礎上產生合規報告,將報告發給監管團隊進行電子簽收和上報,並對糾正的動作進行記錄。企業能夠自動檢測漏洞並在異構的基礎架構中建議優先的修補行動。此外,IBM還提供數據遮罩功能,當數據流入和傳出大數據系統時識別敏感數據。

       解決大數據時代的安全,這就好比你置身一場戰鬥,你必須做到先發制人,而不是後知後覺。隨著安全趨勢的改變,將大數據分析和安全合併可能是一個可喜的改變,像IBM提出的理念一樣,智能、即時是應對新形勢的關鍵詞。

  • IBM InfoSphere Guardium協助雙和醫院 建立完美合規與免責雙重防線

    概觀

    個資法通過後,儲存大量病歷資料的醫院更不敢輕忽個資外洩或濫用的風險。因此,資料庫安全管理與稽核是刻不容緩的防護措施。

    業務需求:
    雙和醫院資訊室主任陸偉輝表示,「我們必須把個資安全看得與客戶健康一樣重要,用最嚴謹的防護措施來加以保護。

    解決方案:
    IBM InfoSphere Guardium

    效益:
    1.
    採用獨步全球的 Agent技術,不須改變資料庫或應用程式配置,亦不影響系統日常運作即可部署完成,也能隨系統架構改變而靈活擴充。

    2. Guardium平均在 UNIX平台僅需3%效能、Windows平台則低於5%,系統負擔低且穩定,適合經常吞吐大量資料的資料庫。

    3.「不可否認性」與「資料完整性」兩項設計使其證據能力具有十足公信力。

    成功案例

    個資法通過三讀後,不僅企業界備感壓力,儲存大量病歷資料的各級醫院也不敢掉以輕心。這些病歷紀錄不僅事關病患隱私,一旦有個資外洩或濫用的風險,醫院所要負擔的賠償恐怕遠超過自身所能負荷!

    根據報載,國內知名保險業者因評估難以滿足個資法要求,決定終止電話行銷業務,可見企業寧可損失部分營業額,也不願承受無法控管的個資風險。然而醫院肩負照護病人健康的社會責任,不可能採取同樣的作法。

    「合規與免責,是醫院保護客戶、保護自己的雙重防線!」臺北醫學大學、署立雙和醫院資訊室主任陸偉輝表示,「我們必須把個資安全看得與客戶健康一樣重要,用最嚴謹的防護措施來加以保護。」

    守護個資,從資料庫做起
    根據統計,資料外洩事件有75%來自資料庫伺服器,而且當個資爭議發生時,資料庫系統稽核報告也將成為責任判別的依據。資料庫安全管理與稽核,是刻不容緩的防護措施。

    陸偉輝主任指出,在評估資料庫安全解決方案時,雙和醫院資訊團隊訂立五項重要指標:品牌與口碑、即時防護能力、免責舉證力、導入與擴充的便利性、運作效能。

    經過多方比較,IBM InfoSphere Guardium在五大指標均有優異表現,再加上過去導入IBM Power System伺服器作為醫院核心資訊管理系統,IBM的專業度與支援能力都令IT團隊感到滿意。因此,雙和醫院經過嚴謹評估後,決定採用InfoSphere Guardium作為資料庫安全防護與稽核的守護者。

    Guardium
    Forrester Wave最高評價
    全球權威市調機構Forrester針對市面上所有資料庫安全監控管理解決方案進行評比,在「The Forrester Wave™:資料庫稽核與即時防護」(The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011)報告中指出,IBM是該領域中的領導者,在產品面、策略面、市場面共17項指標中,每一項都高居榜首,最高評價實至名歸。

    此外,全球前五大跨國銀行、20家電信業領導者、兩大最受歡迎飲料品牌與知名防毒軟體公司McAfee.com等都選擇InfoSphere Guardium,「資安解決方案講求實績;」陸偉輝主任表示,「最重視資安的銀行與電信業者的選擇,等於幫我們做了最好的篩選。」

    全生命週期,完整即時防護
    IBM產品協理胡育銘說明,InfoSphere Guardium的設計是從全生命週期的進行資料庫安全管理:
    一,尋找及分類:組織長期累積的龐大數位資料,InfoSphere Guardium可自動探索與分類,找出機密資料儲存位置並強制套用安全規則。
    二,評量及鞏固:安全評量功能會根據CVECISSTIG等業界最新標準,掃描資料庫基礎架構,找出系統配置與使用者行為中的潛在漏洞,並提出強化建議,建立資安基準線。
    三,監視及實施:InfoSphere Guardium具備強大的監控能力與完整安全原則管理,可即時監測並主動控管未獲授權的可疑動作、外來攻擊與詐欺行為、基準線異常變更、特許使用者異常行為等。儀錶板可呈現完整「who, what, when, where, how」監控記錄,以及自動化安全事件工作流程,以符合法規遵循。
    四,審核及報告:以連續而精細的方式追蹤所有資料庫活動,跨DBMS儲存審核資料以確立職權分立的監管制度,並讓法規遵循報告與監管程序全面自動化。

     

    image006
    圖說:IBM InfoSphere Guardium:一個解決方案,滿足全生命週期的資料庫安全與法規遵循

    獨步全球Agent技術,安全與效能兼具
    InfoSphere Guardium
    與其他解決方案最大的不同之處,在於採用了獨步全球的Agent技術,與他廠以封包為基礎的技術有著本質上的差異。Agent技術採取非侵入性的即時監控,不須改變資料庫或應用程式配置,亦不影響系統日常運作即可快速部署完成,未來也能隨系統架構的改變而靈活擴充。

    相較於他廠解決方案動輒占用10%-15%系統效能,InfoSphere Guardium平均在UNIX平台僅需3%效能、Windows平台則低於5%,系統負擔低,運作更為穩定順暢。對於經常吞吐大量資料的資料庫系統,效能差異將會嚴重影響業務運作與使用者體驗,這項輕量化優勢使得InfoSphere Guardium受到全球企業青睞。

    「舉例來說,Guardium就像是高速公路上的攝影機,拍下經過的每一台車子,立即傳送到獨立監控系統去比對與應變;且不會因為攝影機壞掉而造成交通阻塞」IBM產品協理胡育銘說明,「他廠解決方案就必須占用車道、把每一個台車攔下來檢查拍照,效能差異顯而易見。」

    完整證據力,確保企業免責
    個資法規定,當有個資爭議發生時企業必須負舉證責任以證實沒有疏失。因此,資料庫安全管理系統所提供的稽核報表,成為企業自保的最後一道防線。為確保稽核報表證據力,InfoSphere Guardium提供層層防護機制:

    具「不可否認性」的稽核資料:職權分立機制,將稽核資料儲存於多個不同的實體與虛擬裝置中,任何人均無權限竄改。
    三層式架構的使用者追蹤:完全對應應用伺服器使用者資料與database sessionSQL資訊,為全球唯一100%完全正確追蹤使用者的解決方案。
    資料完整性設計:Buffer機制在網路忙碌或中斷時可先暫存交易資料,網路恢復後立即續傳到稽核資料庫,不漏失封包,確保稽核資料完整。
    高可用性與附載平衡設計:無論發生天災人禍、或資料庫交易附載過大,都能夠透過備援或分散式收錄來確保稽核資料完整無缺。

    陸偉輝主任認為,「不可否認性」與「資料完整性」這兩項設計使其證據能力具有十足公信力,「若企業被質疑洩漏個資、或特許使用者與管理者被質疑有異常行為時,Guardium的稽核資料將是保護雙和醫院與IT管理者、證明行為合規的重要證據。」

    面對日新月異的資安風險,以及個資法嚴格的合規與舉證要求,雙和醫院已經做好完全準備,在IBM InfoSphere Guardium的把關下,不僅能即時守護客戶資料安全,並能在必要時刻提出完美無缺的稽核證據,保護企業權益!

    (採訪於2013年)