IT網絡入侵事件不絕,不少企業都加強了保安的投資,甚至要求夥伴公司,提昇保安的質素。本港IT保安產品和托管式保安,均錄得不俗增長。
本港的高威電信(Macroview)的托管式保安,亦錄得強勁增長,擴增新一代配適性保安營運中心。
「配適性保安架構」(Adaptive Security Architecture)概念來由研究機構 Gartner所提出;以補充以往,只集中於防禦,並以政策為本的保安策略缺陷,所形成IT保安策略,不能應付當前的保安形勢。
隨著流動用戶增加,雲運算的興起,企業以API互連,數據和用戶,也不一定留在企業內,企業的保安邊界,又愈來愈模糊;類似以防毒軟件、IDS/IPS、防火牆,甚至部署NAC和NLP等高階保護設備,均不能確保企業IT安全;須以全新的思維,才能應對當前的保安形勢。
「配適性保安架構」的理念,就是指出集中防禦,已不能確保安全,攻擊手段不斷更新。所謂「配適性」,其實就是要「與時並進」,不斷檢討架構和持續性偵察,「配適性保安架構」認為,IT保安建立適當「政策」(Policy)和「合規性」(Compliance);就須環繞預測攻擊(Predict)、禦防入侵(Prevent)、响應事件(Respond)、填補缺陷(Defect)等四大範疇,不斷更新和檢討。
IT保安新理念
高威電信行政總裁羅蔭彤表示,高威電信的業務,主要包括了三方面;傳統網絡基建、保安服務,雲服務及軟件開發。高威電信的理念,並不是單純整合,而是構思為不同項目,加入增值服務,硬件上再開發新的功能;最為人熟悉是建立數碼工作空間LUCAS架構,高威電信亦為「配適性保安架構」,開發出PRISM架構。
近年托管式保安高速增長,高威電信決定在數碼港,建立新的保安研究中心,以應對新的保安要求;針對「配適性保安架構」,建立更完備的PRISM架構。
羅蔭彤說,高威電信以「配適性保安架構」建立IT保安服務,向不同渠道蒐集購買情報,WannaCry爆發前兩天,已知會了客戶,即將有勒索軟件爆發。不過即使具備預見能力,也不能確保安全;惡意程式變種極快,必須持續性評估風險。
最近,企業已經轉而更針對偵察和响應,也是「配適性保安架構」的精髓所在,企業不能只一味防禦,也必須持續偵察,不斷檢討風險所在,再實時更新保安策略;此亦令托管式保安需求大幅增加。
羅蔭彤說,不少SOC失效原因,除了追蹤威脅能力不足,造成掛一漏萬;持續性評估風險,亦愈來愈重要,以適應不斷轉變的風險,也是企業依賴托管式保安的基本原因。
保安事故不斷發生,企業從防禦轉作更多進行偵察;基本偵察又須從企業內蒐集大量日誌分析(Log Analysis),依靠「安全信息和事件管理系統」(SIEM)抽絲剝繭;從最傳統ArcSight至最新Splunk,不少企業均有賴SIEM,以發出攻擊預警。
羅蔭彤舉例,高威電訊從其中一個保安(SOC),每日SIEM蒐集達一億筆記錄,大量記錄預警,難以判斷真偽,必須有更佳手段,才能從大量警報,找出具意義內容,再調查分析。
「高威電訊從一億筆記錄,篩選其中四筆,才作深入調查。」
但是,保安團隊經常與時間競賽,又須經常從警報中,找出真正威脅所在。一般SIEM內建數百個關聯規則(Correlation Rule)與合規報表,保安團隊可從關聯規則,不同系統發出的警告,再結合不同資料,才決定系統是否正受攻擊。
例如Splunk Enterprise Security (ES)會定期公佈,不同保安用戶範例(Security use case),包括系統所獲關聯規則,從而判斷攻擊範圍,清除惡意程式各種手段,以便團隊快速行動。
「Splunk定期公佈最新用戶範例,幫助SOC更快作出行動。問題在於用戶範例並不能涵蓋所有環境,SOC必須在原有的用戶範例加以優化和定義,才能找出真正的威脅和响應方法。」
IT保安主管也要平衡風險和法規要求。除了符合不同法規要求,也必須不斷持續地檢查企業內部系統,評估風險;持續評估系統內所有物件;包括了用戶、系統、主機、網絡器材等。
但是,風險水平並不代表每部機器或系統,都必須升級到最新版本或是加入最強防禦;不少弱點管理和掃描(Vulnerability Management and scanning),只集中於某一點的問題,往往只見樹木不見森林。
持續風險評估
羅蔭彤認為,稱職的托管保安服務,並不只利用SIEM或保安產品原有功能,而是產品上加以優化和增值,達到「配適性保安架構」不斷優化,不斷檢討風險和評估形勢的要求。
羅蔭彤舉例,不少企業都在使用Splunk Security Enterprise,可惜不少只是利用最基本部分,無從實時作系統性估評,報告企業的風險水平。
「靜態的風險分析,不能滿足『配適性保安架構』要求,即使系統發現某些機器弱點較多,每名職員或者機器重要性不一;從系統風險估評所獲風險指數(Risk Score),必須加權或修訂,才能決定企業內,那部分應加強保護,或者收緊保安措施。」
企業須在保安統數據,加入業務本身特點和流程,才能建立完整保安策略,並作出風險考核。
羅蔭彤說,高威電信目前約有十多人的團隊,建立適合本地和企業的用戶範例,以便保安團隊快速响應;也希望讓有關用戶範例,適用於不同SIEM,跨平台偵察威脅,增加企業的靈活性。