Security

資安事件回應不只是資訊部門的事

分享文章:

 

健全企業資安事件回應體系  IBM Resilient 平台扮要角

 

當企業爆發資安事件時,不只是技術的問題需要解決,更要考慮這些事件對業務與企業品牌形象造成的全面傷害。需要一套可提供回應方式的標準處理流程,協助所有相關人員、高層營運團隊等等,立即進行妥善的處理,將對公司營運的衝擊與傷害降到最低。

 

近年來,儘管各企業不斷強化資安防護機制,但似乎仍然無法降低資安事件發生,尤其是預算充足的大型企業,更易成為駭客組織的攻擊對象。如 2016 年底 Dropbox 爆發高達 6800 萬用戶帳密被盜、2017 年 Yahoo 坦承有 30 億用戶資料遭竊,而全球最大共享圖片網站 Imgur,亦發生遭駭客入侵事件,導致高達近 170 萬用戶資料外流。前述三大資安事件的共同點,都是在多年前即遭到駭客入侵,但可能當時沒有發現入侵行為或後續處理方式不當,才會讓受害狀況如雪球般的愈滾愈大。

 

傳統企業資安防護策略著重在防禦、偵測等兩大步驟,卻忽略後續回應的重要性,因此當發現惡意程式入侵之後,只能仰賴專業技術顧問的協助。然而現今資安事件影響層面非常廣泛,以即將在 2018 年實施的歐盟通用資料保護規則(EU General Data Protection Regulation,GDPR)為例,只要網站或服務會提供歐盟民眾瀏覽使用,或者是會搜集、處理和利用歐盟公民資料的企業或組織,都得強制遵守前述法規,違反的話將會遭致鉅額罰款。

 

換句話說,當企業爆發資安事件時,不只是技術的問題需要解決,更要考慮這些事件對業務與企業品牌形象造成的全面傷害。需要一套可提供回應方式的標準處理流程,協助所有相關人員、高層營運團隊等等,立即進行妥善的處理,將對公司營運的衝擊與傷害降到最低。而 IBM 推出的 IBM Resilient 事件回應平台 ,是一個將人員、流程和技術進行緊密整合的自動化平台,能夠立即針對安全警示採取動作、提供寶貴的情報與事件脈絡,讓安全團隊以最有效率的方式進行處理與回應。

 

融合多國相關法規與行業標準 協助企業因應資安威脅

 

IBM Resilient 事件回應平台 (Incident Response Platform, IRP) 的最大優勢,在於以安全事件為導向,通過內置的行業標準和最佳實踐,將回應流程整體細化、分解,視嚴重程度與牽涉到的部門,通知 IT、業務部門主管、法務、行銷公關、甚或上報到總經理、董事會等各相關人員採取行動,並對流程進展狀況進行監控,幫助企業快速進行安全事件的應急回應。特別是在確認攻擊類型後,IRP 會以企業 IT 資產為單位,將回應流程進行細緻的分解,並下發給IT維運部門,分解後的回應流程可以大致分為人工和自動兩個大類。

 

目前 IBM Resilient 事件回應平台採用半人工、半自動化的設計,兩種方式結合後可使得整個處理進度變得更加可控,尤其該平台對整個事件回應流程的定義是完全開放,企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程,將企業需要的流程與標準自訂到 Resilient 的 IRP 平台上,並作為可重複運用的資產,在不同企業或子公司之間進行共用。

 

對於公司規模不大,但是產品銷售或服務都遍及世界各國的企業而言,要精準掌握各國法規非常困難。而 IBM Resilient 事件回應平台已預先內建多國相關法規與最佳實踐,例如台灣的個資法規定也已經在內建資料庫之內,可協助企業快速釐清法規問題,同時給予相關的處理建議,作為企業處理資安威脅事件的參考。

 

整合資安威脅設備 強化事件回應能力

 

IBM Resilient 事件回應平台可與市面上多品牌的 Threat Intelligence 威脅情報進行整合,包含 IBM X-Force Exchange、Symantec DeepSight、FireEye iSight、VirusTotal 等,讓資安人員在調查事故過程中,可輕易了解目前被攻擊的來源以及其相關的攻擊資訊,以有效阻止資安事故的發生。

 

此外,IBM Resilient 事件回應平台和 IBM QRadar 可透過搭建虛擬環境,和企業內部驅動的滲透/眾測兩種方式,進行資安事件回應的演練。虛擬環境本身可由 IBM QRadar 對某些規則的演練,或者測試網路環境的搭建來完成,而在滲透/眾測情況下,企業可透過外包的方式,邀請滲透測試團隊駐場測試,或者是在協定測試基線的前提下(不觸碰業務資料等)進行眾測,對企業網路進行攻擊演練與測試。

 

IBM QRadar 是 IBM 安全免疫體系的大腦,也是終端、資料庫、身份管理等對應安全設備間聯動的核心。在SOC/SIEM 定位攻擊及受影響資產及其狀態等資訊後,每個確認攻擊的詳細資訊都可發送到 IRP 平台,自動生成並開始啟動事件回應流程。在完成某個攻擊引發的安全事件的應急回應後,整個處理過程的相關資訊,包括對應攻擊類型、回應流程細節、下發和完成時間等資訊,都會被 IRP 平台詳細記錄。

 

而 IBM Resilient 事件回應平台可以自動將整個回應過程評價量化,並提供相應報表的生成,這除是對安全部門的監督外,也是 IT 維運團隊在回應資安事件的一個具體成果表現。

IBM 市場行銷協理

More Security stories
2022-08-04

IBM 純網路保險四部曲:(四)純網路保險-一箭雙鵰

鯰魚效應發酵 作者:IBM Consulting 混合雲服務解決方案顧問經理 王志明 政府按照純網路銀行開放模 […]

繼續閱讀

2022-07-06

IBM 純網路保險四部曲:(三)純網路保險-百鍊成鋼

純網保經營挑戰 作者:IBM Consulting 混合雲服務解決方案顧問經理 王志明 俗話說殺頭生意有人做, […]

繼續閱讀

2022-06-20

台灣高鐵採用 IBM 混合雲平台 建置新世代訂位票務服務系統

【2022年6月20日,台北訊】近期新冠肺炎疫情嚴峻,為優化非接觸式服務,並追求更高的運輸效率,台灣高鐵公司( […]

繼續閱讀