【Splunk Boss of the SOC】香港 Blue Team 精英激鬥 Threat Hunting
由 Splunk 舉辦,以資訊安全為主題的奪旗比賽 —— Boss of the SOC (BOTS), 香港區賽事於早前完滿結束。今次比賽總共有 14 支隊伍、共 49 名 IT 精英參賽,最終由 Old Bear 隊獲得總冠軍。冠軍隊伍可獲得豐富獎金及獎杯。
主辦單位代表 Splunk 亞太區資訊安全首席策略師彭志宏 (Paul Pang) 解釋,BOTS 要求參賽者要擔任企業網絡安全團隊的角色,利用 Splunk 的網絡安全套件和其他資源,解決由大會提出的各種難題,而這些難題,都是企業在現實中經常面對的各類網絡攻擊。
模擬現實情況 考驗 Blue Team 防守能力
Paul 表示,每年 BOTS 都會加入最熱門的網絡安全難題考驗參賽者,今年的主題就以現實中 Blue Team 面對的實際情況為主軸,相比以往著重「掃描系統找漏洞」,今次 BOTS 的重點在於「防守(Defense)」,即考驗參賽者面對網絡攻擊發生時,找出被攻擊漏洞的位置,同時考驗他們分析黑客進攻手法的能力。因此,今年的題目加入了參照企業聘請 Red Team 測試 Blue Team 的現實情況,讓參賽者能夠體驗實際工作中會面對的挑戰。
除此以外,大會還加入了針對 OT Security 的進階題目,參賽者除了要掌握 Data Center 、IT Network 的網絡安全知識,還要懂得 IOT 及 PLC 環境下成功執行 OT Hacking Detection 的操作,才能解決難題。
Threat Hunting 技能成比賽致勝關鍵
由於今年 BOTS 是以 Blue Team 做主角,所以參賽者並非以「設置及運作系統(Setup and Operation)」為主力範疇的 IT 人,而是一班「Threat Hunters」。Threat Hunters 並不會等待事故發生、收到系統通知後才採取行動,而是緊貼市場或環球情況,主動調查公司系統是否存在威脅。Paul 舉例,最近美國出現新的勒索軟件攻擊Threat Hunters ,應該要在第一時間,主動檢查公司系統是否存在潛在風險,並強化系統防禦能力,「如果同事日常工作有做 Threat Hunting,在今次比賽中會有莫大優勢」。
曾被後來居上 冠軍隊 Old Bear:不要放棄
是次比賽冠、亞兩隊得分明顯領先其他隊伍,冠軍隊 Old Bear 中途更一度被超越,最後靠凌厲後勁勝出。隊伍代表賽後接受訪問時表示,本次活動涵蓋了一些對他們來說很新穎的範疇,例如 Splunk UEBA、Splunk SOAR (前稱為Phantom) 產品和 OT 網絡等。由於沒有這方面的經驗,他們甚至要從 YouTube 及 Google 上尋找資料「自學」。面對一開始遙遙領先,但被後來居上,隊員承認當時面對相當大的壓力,但他們仍然能憑藉「不到最後一刻不要輕易放棄」的精神,於比賽最後階段重奪首位。
Think Outside of the Splunk Box 善用開源情報(OSINT)
Paul 亦表示,在 Blue Team 的世界,經常要面對全新的網絡攻擊,沒有先例可循。雖然利用 Splunk 的網絡安全套件,已能夠全方位調查出企業所受到的網絡攻擊的詳細資料,並可立即分析出有用數據,讓 IT 團隊及時採取行動,但若果要做好 Blue Team 的 Threat Hunting 工作,還是要靠團隊平時多主動了解市場動向。Paul 解釋,Splunk 一直鼓勵參賽者「Think Outside of the Splunk Box」,是指 Blue Team 成員除了熟悉 Splunk 的工具之外,還要懂得善用專為 SOC 環境而設的開源工具,知道如何研究開源情報(OSINT),跳出 Splunk 的框框,為保衛企業網絡踏前多一步。
大數據基礎雄厚 Splunk 成企業 Blue Team 好幫手
Paul 解釋,Blue Team 進行 Threat Hunting 時,不會事前明確知道哪個範圍存在網絡威脅,若要真正幫助到團隊執行工作,相關工具需要像搜尋引擎般,利用大數據,自動提供不同維度及相對應的 IOC,一步一步協助團隊收窄搜索範圍,最終找出網絡威脅問題的根源。Splunk 提供的網絡安全套件,受惠於品牌本身已有雄厚的大數據處理基礎,因此能夠為 Blue Team 提供準確的預測及建議,大大節省團隊在搜索網絡威脅時所需要的時間,比坊間其他同類型工具更適用於 Threat Hunting 工作。