IT業界資訊媒體

【Microsoft Online Tech Forum】紓緩專才荒 Azure Sentinel自動化回應網絡安全警報

隨著 5G 及 Wi-Fi 6 高速網絡傳輸技術的普及,市場預計將會有更多的 IoT(物聯網)及雲端應用服務使用案例出現,大大增加企業的數據流量及混合雲架構的複雜程度。同時間,不少網絡安全報告均指出黑客正以人工智能(AI)技術,向企業發動更精密的網絡攻擊,以突破網絡安全工具的防禦。面對著上述環境,不少企業雖然採用了安全資訊及事件管理系統(Security Information and Event Management, SIEM)工具,但暴增的數據流量及安全事件警報,將令網絡安全專家疲於奔命,花費大量時間分析警報及調查事件,拖慢應對事件的速度,更令專家難以處理其他更重要的工作。企業便須增聘人手以防出現人為疏忽,毋疑增加網絡安全的管理成本,同時也未必能達到預期效果。網絡保安協調、自動化和回應(Security Orchestration, Automation and Response, SOAR)工具的出現,便成為解救企業的「救命草」。
無限警報拖垮安全專才
早在 2017年,全球分析機構 Gartner 已預計 30% 大中型企業會在於 2019 年採用 SOAR 平台,更預計 SOAR 將會愈來愈受企業青睞。到底為何 SOAR 會如此重要,首先便要了解 SIEM 的不足。從字面上也可知道,SIEM 的主要功能是分析來自企業所有 IT 資源的訊息及事件資訊,包括各種硬件設備、網絡、應用工具等,以找出可能出現的網絡攻擊。如發現異常,系統便會發出安全警報,交由網絡安全專家管理。換言之,這個管理過程涉及大量人力介入,專家須就著海量資訊去判斷警報的嚴重性、整個事故如何發生,抑或是否屬於誤報;此外,專家還要設定或修改各種規則以提升 SIEM 工具的準確性及效率,以現時企業每日產生 TB 單位的數據量計算,實在難以單靠人手處理。因此,具備協調、自動化與回應功能的 SOAR 工具,便被視為紓緩網絡安全專家不足,以及減少網絡安全營運成本的最佳方案。

SOAR 是專為協助網絡安全專家處理及回應無窮無盡的警報而設,它可以將各平台收集回來的警報集中在同一地方,分析有否誤報,以及評估嚴重程度,為每個警報排序及分流,並按照預先設定的劇本(playbook)自動執行回應。通過 SOAR,便可以大大減少重複性工作,例如當發現懷疑釣魚電郵警報,系統就會按照劇本去檢查威脅特徵、判斷是否誤報、執行隔離、搜尋受影響用戶、製作調查報告等,減輕網絡安全專家的工作負擔,同時亦加快回應速度,更有效率處理較嚴重的問題。

人工智能回應統一處理標準
Microsoft 剛於香港發布的 Microsoft Azure Sentinel ,是一款雲原生 SIEM 及 SOAR 解決方案,容易跟企業現正使用的安全工具整合及協調。Azure Sentinel 使用的 Azure Monitor 建基於已驗證、可擴展記錄分析的數據庫,每天可接收超過 10PB 的數據,並提供迅速的搜尋引擎,於數秒之內將數百萬條記錄排序。內置的 AI 及 Machine  Learning 技術,可快速分析企業的大量數據,過濾雜訊,減少誤報率達 90%,並縮短事故的回應時間。以英國零售品牌 ASOS 為例,Microsoft Azure Sentinel 於開展的首六個月內分析了 ASOS 37 億個潛在網絡保安事件,發出 3,100 個警報,而且自動成功解決 519 宗,為對方的網絡安全團隊減少一半處理時間。自動化過程不單可減少網絡安全專家的工作負擔,更可令整個操作流程標準化及可量度,不受專家的技術能力差別影響,亦不用擔心人事變動影響網絡安全性。
想了解 Microsoft Azure Sentinel 如何協助企業紓憂解困?Microsoft 將於 4 月 16 至 17日,一連兩日舉辦網上研討會「Microsoft Online Tech Forum」,屆時除了會有 Azure Sentinel 示範,更有 40 節關於數碼轉型實踐、雲端技術趨勢、生產力技術、智能辦公室、網絡保安等主題的分享,演講陣容更包括 Microsoft CEO Satya Nadella 及多位重量級人馬,適合技術主管、IT 專業人員、網絡安全專家或 Tech 友收睇,費用全免,請即報名留位。
網上報名:https://bit.ly/39JHaVS