IT業界社群及資訊平台

【拆彈專家】自動化網絡安全託管服務 縮短 95% 警報處理時間

對企業來說,阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞,抑或是阻止黑客入侵,稍遲一分鐘,後果也可以很嚴重。即使企業有資源購買網絡防禦工具,在業內人手嚴重短缺的情況下,也難以及時處理鋪天蓋地的安全警報;再加上隨著業務擴充,無可避免需要更多不同類型的防護,警報數量勢將有增無減,累積的警報有如計時炸彈,令企業管理者難以心安。企業要徹底走出網安死胡同?其實答案早擺在眼前。

安全專家全球缺人

網絡安全研究組織 Cybersecurity Ventures 早前發表報告,預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬,較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯(Cat)認同情況相當嚴峻,「企業現時面對很多挑戰,例如多年來採用的各種安全工具無法溝通,必須交由安全專才獨立分析及管理;即使部分客戶有自己的 SIEM(Security Incident and Event Management)或 SOC(Security Operation Center),其功能亦僅限於偵測及發出警報,最終仍須交由安全專才深入分析事件及決定如何處理。」Palo Alto Networks 香港及澳門董事總經理馮志剛(Wickie)指出在 COVID-19 下,各類型網絡攻擊均有飆升趨勢,「黑客不會待你解決手頭上的事件才再攻擊,處理得不夠快,security incidents 及 tickets 便會愈積愈多,所以單靠人手無助疏解問題,必須做到 orchestration 及 automation,協調各種工具的數據,才能分析是否有漏洞或誤報(False Alert),以及掌握整個攻擊的來龍去脈,自動執行處理程序。」

接通孤島工具

Wickie 所說的解救方案,正是業界現時最火熱的網絡保安協調、自動化和回應(Security Orchestration, Automation and Response, SOAR)技術。SOAR 的運作原理是將企業內部、網絡、雲端應用的數據,全部集中在同一介面處理,從宏觀角度分析各平台發出的警報,透過人工智能(Artificial Intelligence, A.I.)及機器學習(Machine Learning)技術,判斷是否誤報,以及因應嚴重性排序,分析整個事件的來龍去脈,並按照預先設定的應變劇本(Playbook)自動回應事件。Wickie 解釋企業的安全工具孤島(silo)問題,並非業界為保障業務而刻意製造出來,「網絡安全概念不斷演變,以往可能只須做 Firewall,後來出現防毒軟件,之後又因網絡攻擊愈出複雜,各種 APT(Advanced Persistent Threat)工具誕生。它們之間缺乏溝通,當發生黑客攻擊,網絡安全專才便要逐一分析各種工具的數據,期間又要向不同的部門取得許可,可想而知會花費很多時間,最終能否查出事故原因也是未知之數。」

正因問題水深火熱,早前 Gartner 公佈的 2020 年 9 大安全和風險趨勢中,便強調了安全流程自動化的出現,指出 SOAR 可助消除重複性任務,並估計到 2022 年,30% 的安全團隊將利用 SOAR 工具進行編排和自動化。Wickie 指出實際上 9 成調查及處理工序都有重複,自動化便可將原來 30 多個人手步驟縮減至 2 個,將警報負載減少 95%。除了時間方面的考慮,Cat 認為企業更應關注人手處理安全警報能否標準化,「企業最擔心人為出錯,面對排山倒海的警報,網絡安全專才能否有序處理緩急問題?而且不同專才的處理手法亦有分別,難以做到系統化評估。」自動化技術便可將處理標準劃一,過程亦變得更加透明,方便企業評估安全狀況。

分享應變劇本提升響應效率

即使 SOAR 為大勢所趨,這套工具其實仍須網絡安全專才去管理,最終又回到人手不足的問題上。Cat 說 Ensign 現時推出的 Managed Incident Response Automation 託管安全服務,便包含了 24/7 偵察及自動響應服務,「我們採用了 Palo Alto Networks 的 Cortex XSOAR 自動化解決方案,一方面它已經能直接與超過 470 多種不同廠商的安全工具整合,可以快速打通各種安全數據,其次是它內置與及 Market Place 上亦有逾 450 種即時可用,根據 best practices 適用於不同場境的劇本,可按行業、用途分類搜尋,更有效率地找出合適的劇本作調整。」Cat 說再加上 XSOAR 內置了 Palo Alto Networks 的威脅指標(Indicators of Compromise, IoC)及威脅情報(Threat Intelligence),加快了 Ensign 網絡安全專家在區別誤報、分析漏洞所在及提供優化建議的速度,足足減省了 50% 時間。「正因為自動化已解決了絕大部分警報,我們其中一個金融行業客戶,預計來年毋須再因聘請安全專才而頭痛,現有的專才亦可專心處理其他網絡安全的高層次問題,例如因應業務擴展的部署、基建設計等。」

Cat 提及的 Playbook Market Place,是 Palo Alto Networks 剛於今年八月推出的共享計劃,旨在提供一個平台,使 XSOAR 用戶可以直接使用由業界領先企業(1)與及安全專家們設計,與及不停更新的劇本,無需重新製作。Cat 表示 Ensign 亦有意參與其中:「Ensign 的託管安全服務,會由他們 500 多位安全專才為企業度身打造不同的劇本,將響應安全警報的工序自動化,縮短回應時間;即使企業有專才流失,也不用擔心出現安全風險,大大紓緩企業的人手不足問題。這些劇本涉及不同行業及工具,雖然上載至 Market Place 後未必百分百可套用在其他企業客戶身上,但也可作借鑑參考。」

託管服務為中小企解難

不少網絡安全調查報告顯示,網絡罪犯不單只瞄準大企業,中小企也是黑客目標,「因為不少大企業也會採用第三方服務供應商,黑客自然捨難取易,透過攻擊中小企作為跳板,從供應鏈(supply chain)弱點入侵大企業。」Cat 認為託管安全服務正適合這些缺乏資源聘請安全專才的中小企,始終商譽攸關,而且採用託管安全服務也很快,「經過我們的安全專才了解客戶的業務發展需要、基建及安全工具後,就可在 2 至 4 星期內配置適合的劇本,在極短時間內達到網絡安全需要。」

如欲了解 Ensign 提供的託管安全服務,可致電 2100 0000 或到網站 www.ensigninfosecurity.com 查詢。

(Article sponsored by Ensign)
報告參考:https://cybersecurityventures.com/jobs/

註:(1)首批參與提供內容公司包括:Accenture, Palo Alto Networks, InfoSys, Recorded Future, Code42, Chronicle, SixGrill, RiskIQ, Tufin, SafeBreach, Wipro. 等等。