【拆彈專家】自動化網絡安全託管服務 縮短 95% 警報處理時間

對企業來說，阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞，抑或是阻止黑客入侵，稍遲一分鐘，後果也可以很嚴重。即使企業有資源購買網絡防禦工具，在業內人手嚴重短缺的情況下，也難以及時處理鋪天蓋地的安全警報；再加上隨著業務擴充，無可避免需要更多不同類型的防護，警報數量勢將有增無減，累積的警報有如計時炸彈，令企業管理者難以心安。企業要徹底走出網安死胡同？其實答案早擺在眼前。

安全專家全球缺人

網絡安全研究組織 Cybersecurity Ventures 早前發表報告，預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬，較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯（Cat）認同情況相當嚴峻，「企業現時面對很多挑戰，例如多年來採用的各種安全工具無法溝通，必須交由安全專才獨立分析及管理；即使部分客戶有自己的 SIEM（Security Incident and Event Management）或 SOC（Security Operation Center），其功能亦僅限於偵測及發出警報，最終仍須交由安全專才深入分析事件及決定如何處理。」Palo Alto Networks 香港及澳門董事總經理馮志剛（Wickie）指出在 COVID-19 下，各類型網絡攻擊均有飆升趨勢，「黑客不會待你解決手頭上的事件才再攻擊，處理得不夠快，security incidents 及 tickets 便會愈積愈多，所以單靠人手無助疏解問題，必須做到 orchestration 及 automation，協調各種工具的數據，才能分析是否有漏洞或誤報（False Alert），以及掌握整個攻擊的來龍去脈，自動執行處理程序。」

接通孤島工具

Wickie 所說的解救方案，正是業界現時最火熱的網絡保安協調、自動化和回應（Security Orchestration, Automation and Response, SOAR）技術。SOAR 的運作原理是將企業內部、網絡、雲端應用的數據，全部集中在同一介面處理，從宏觀角度分析各平台發出的警報，透過人工智能（Artificial Intelligence, A.I.）及機器學習（Machine Learning）技術，判斷是否誤報，以及因應嚴重性排序，分析整個事件的來龍去脈，並按照預先設定的應變劇本（Playbook）自動回應事件。Wickie 解釋企業的安全工具孤島（silo）問題，並非業界為保障業務而刻意製造出來，「網絡安全概念不斷演變，以往可能只須做 Firewall，後來出現防毒軟件，之後又因網絡攻擊愈出複雜，各種 APT（Advanced Persistent Threat）工具誕生。它們之間缺乏溝通，當發生黑客攻擊，網絡安全專才便要逐一分析各種工具的數據，期間又要向不同的部門取得許可，可想而知會花費很多時間，最終能否查出事故原因也是未知之數。」

正因問題水深火熱，早前 Gartner 公佈的 2020 年 9 大安全和風險趨勢中，便強調了安全流程自動化的出現，指出 SOAR 可助消除重複性任務，並估計到 2022 年，30％ 的安全團隊將利用 SOAR 工具進行編排和自動化。Wickie 指出實際上 9 成調查及處理工序都有重複，自動化便可將原來 30 多個人手步驟縮減至 2 個，將警報負載減少 95%。除了時間方面的考慮，Cat 認為企業更應關注人手處理安全警報能否標準化，「企業最擔心人為出錯，面對排山倒海的警報，網絡安全專才能否有序處理緩急問題？而且不同專才的處理手法亦有分別，難以做到系統化評估。」自動化技術便可將處理標準劃一，過程亦變得更加透明，方便企業評估安全狀況。

分享應變劇本提升響應效率

即使 SOAR 為大勢所趨，這套工具其實仍須網絡安全專才去管理，最終又回到人手不足的問題上。Cat 說 Ensign 現時推出的 Managed Incident Response Automation 託管安全服務，便包含了 24/7 偵察及自動響應服務，「我們採用了 Palo Alto Networks 的 Cortex XSOAR 自動化解決方案，一方面它已經能直接與超過 470 多種不同廠商的安全工具整合，可以快速打通各種安全數據，其次是它內置與及 Market Place 上亦有逾 450 種即時可用，根據 best practices 適用於不同場境的劇本，可按行業、用途分類搜尋，更有效率地找出合適的劇本作調整。」Cat 說再加上 XSOAR 內置了 Palo Alto Networks 的威脅指標（Indicators of Compromise, IoC）及威脅情報（Threat Intelligence），加快了 Ensign 網絡安全專家在區別誤報、分析漏洞所在及提供優化建議的速度，足足減省了 50% 時間。「正因為自動化已解決了絕大部分警報，我們其中一個金融行業客戶，預計來年毋須再因聘請安全專才而頭痛，現有的專才亦可專心處理其他網絡安全的高層次問題，例如因應業務擴展的部署、基建設計等。」

Cat 提及的 Playbook Market Place，是 Palo Alto Networks 剛於今年八月推出的共享計劃，旨在提供一個平台，使 XSOAR 用戶可以直接使用由業界領先企業（1）與及安全專家們設計，與及不停更新的劇本，無需重新製作。Cat 表示 Ensign 亦有意參與其中：「Ensign 的託管安全服務，會由他們 500 多位安全專才為企業度身打造不同的劇本，將響應安全警報的工序自動化，縮短回應時間；即使企業有專才流失，也不用擔心出現安全風險，大大紓緩企業的人手不足問題。這些劇本涉及不同行業及工具，雖然上載至 Market Place 後未必百分百可套用在其他企業客戶身上，但也可作借鑑參考。」

託管服務為中小企解難

不少網絡安全調查報告顯示，網絡罪犯不單只瞄準大企業，中小企也是黑客目標，「因為不少大企業也會採用第三方服務供應商，黑客自然捨難取易，透過攻擊中小企作為跳板，從供應鏈（supply chain）弱點入侵大企業。」Cat 認為託管安全服務正適合這些缺乏資源聘請安全專才的中小企，始終商譽攸關，而且採用託管安全服務也很快，「經過我們的安全專才了解客戶的業務發展需要、基建及安全工具後，就可在 2 至 4 星期內配置適合的劇本，在極短時間內達到網絡安全需要。」

如欲了解 Ensign 提供的託管安全服務，可致電 2100 0000 或到網站 www.ensigninfosecurity.com 查詢。

(Article sponsored by Ensign)
報告參考：https://cybersecurityventures.com/jobs/

註：（1）首批參與提供內容公司包括：Accenture, Palo Alto Networks, InfoSys, Recorded Future, Code42, Chronicle, SixGrill, RiskIQ, Tufin, SafeBreach, Wipro. 等等。