網絡保安| SecOps偵察攻擊以快取勝 XDR自動化降防禦門檻
Table Of Contents
[網絡保安]
網絡攻擊無日無之,最近多家零售企業遇到攻擊,如何建立安全營運(SecOps),也就是整合IT保安工具、流程和技術,更快偵查出攻擊,以降低風險和破壞力,成為當務之急。
不少機構設立保安協調中心(SOC)落實SecOps,由專業安全人員監控、分析和攔截潛在網絡威脅,不過IT保安人才短缺,加上誤鳴極多,造成所謂警報疲營,許多機構的索性外判SOC,聘請外部營運商負責。
以往不少SOC都安裝SIEM(保安資訊和事件管理),近年出現Extended detection and response(XDR)平台,自動從不同來源收集和找出不同相關性。透過結合分析和威脅情報,自動化統一不同來源數據,更快找出攻擊訊號,並予以攔截。
Barracuda推出了雲原生SOC即服務,加快XDR平台的偵察和攔截速度,降低建立SOC入門成本。據Barracuda首席科技總監Fleming Shi指,XDR優點是以速度取勝,自動配合威脅情報,迅速偵察出潛在攻擊,大大降低誤鳴。
雲源生標凖化數據
遠程工作流行,員工在不同地點上班,又或利用SaaS雲服務,企業防火牆都難以提供保護,駭客也可通過電郵攻擊,保安團隊戰線拉長,甚至疲於奔命。SecOps抵禦駭客攻擊是與時間競賽,要發現懷疑攻擊,往往印證多個來源證據,各個應用和設備又有不同數據格式, SOC蒐集數據還要統一,互相對照之後,確定是否受攻擊並作出反應。
SOC分析大量數據,並過濾雜訊找出真正警報,馬上作出應變。愈快回應,攻擊破壞力愈低,SOC訊息來自多個層面,例如終端機器、電子郵件、伺服器、網絡、雲端SaaS應用、基礎架構,問題是不同來源數據格式,必須要統一化,也就是標凖化(Normalization),才能作有效分析。
SOC必須要統一數據格式,Barracuda推出雲原生SOC即服務,利用公開標凖數據格式,解決SecOps難題。Fleming Shi指,業界為了解決數據格式,共同開發「開放網絡安全架構」(OCSF),提供常見安全性事件標準結構描述、定義版本控制準則,以演進結構描述,包含安全記錄檔存取,自動從不同來源蒐集找出相關性。
中止攻擊鏈入侵
XDR從相關性找出不同攻擊方式蛛絲馬跡,通過Mitre Att&ck框架描述約二百五十種攻擊手段,就可判斷黑客的攻擊模式。攻擊者通常先作偵查(Reconnaissance)收集目標的情況,逐項找下手弱點;透過工具掃描系統獲悉有何漏洞。
上述黑客所謂「攻擊鏈」(Cyber Kill Chain)一部分,發現漏洞才發送惡意程式利用漏洞安裝,攻擊鏈涉及一連串行動,Mitre框架對應攻擊手段,理論上只要綜合足夠資訊,就可偵破攻擊。
企業使用的雲服務增加,難度愈來愈高,軟件即服務(SaaS)興起,包括Microsoft 365以至Google Workspace,用戶可隨時隨地登入,企業內的網絡保安根本起不了作用。AWS推出的雲原生的AppFabric,自動將Office 365和Google Workspace記錄檔自動轉換成OCSF,已支援十多種SaaS,自動注入Security Lake供第三方工具分析。
威脅情報確認攻擊
Security Lake會將AWS日誌和安全調查結果,自動標準化為OCSF格式,配合不同方案作出反應,以Barracuda託管式XDR,蒐集超過40個數據來源,對應Mitre Att&ck的攻擊手段,XDR,能即時作出反應,發出警告外亦與其他工具協作即時攔截。
Fleming shi說,Barracuda全球有二十萬名客戶,在網絡保安行業超過二十年,平均每秒攔截十多個零日攻擊,Barracuda擁有多種產品;從監察電郵、IP位址、惡意網站,綜合不同的威脅情報。Barracuda利用AWS的Security Lake綜合安全訊號,對應到Barracuda的XDR就可快速找出入侵的警報。
「以IP位址來說,Barracuda通過確認惡意IP每日攔截超過50萬宗釣魚攻擊。」Fleming Shi說:「OCSF另一個優點是制式公開,獲Amazon大力支持,AppFabric支援主流的保安廠商支持,包括Palo Alto Networks、Orca、Darktrace、Wiz、思科和VMware等,能夠集中多個廠商記錄檔,OCSF公開原始程式碼託管在GitHub,不斷更新完善。」
不同廠商透過OCSF發出保安訊息,例如Barracuda以此共享黑客釣魚和攻擊訊息,XDR就可將相關訊息合併分析,通過人工智能和機器學習自動作出反應。
Barracuda的SOC總監Merium Khalid指出, XDR背後SOC接收從應用和設備的OCSF訊息後,通過加工後就可以進行偵查,再加上微調的監察以減低誤鳴,甚至還可發現內部不尋常的活動,從黑客潛伏並偵查環境已經發現,發現期從2個月縮短至2小時。
