暗網潛航——虛擬戰場生死最前線(二):預防勝治療

  上周說到,為防範針對信息安全的攻擊,業界開始引入信息安全監控中心 (Security Operation Center, SOC),因為該系統能夠及早預警攻擊和發現安全危機的源頭,降低受攻擊的風險。到底它是怎樣做到「快人一步,設想周到」呢?

        SOC的核心中樞系統,全名叫做 「安全情報與事故管理」(Security Information and Event Management, SIEM)系統。這個系統第一個功能就是收集情報,並作出整合和分析;第二個功能則是在事故發生時,可以預先或即時作出反應。

        想調查一件信息安全問題,並不可以單從一件設備的日誌(log)上看到事情的全部,而是需要整合整個系統中的軟件、設備、配置元件等等的日誌,才能徹底找出問題根源。於是,客戶也希望將這些資料整合,期望更快找出前因後果。

        不過,要把所有設備的日誌整合在一起,就容易遇上相容性問題。現實上,系統上所有使用的設備和軟件很難來自同一個廠家,就算同一個廠家,也有機會產出現設備互不兼容的問題。

        一個好的SIEM會先做好相容性測試,故能夠跨平台跨廠商,把各種不同的日誌全都整合在同一個監控台內,並容許專業管理員使用數據分析和統計學軟件,編寫計算程序,把每日發生的事情作出分析,去推算將會發生或已經發生的事故。

        然而,就算這些資料已整合及分析,惟只反映內部系統的營運狀況,缺乏其他曾經遭受攻擊的系統所留下的漏洞及危機「情報」,仍然容易受外界攻擊。故此,一個安全的系統,需要更多外部情報和日誌資料,持續對比下才能夠更快發現及預判危機,從而作出防範。記得《孫子兵法》中「知彼知己,百戰不殆」嗎?

        所以,SIEM也着重情報的廣泛及完整性,例如按系統需要保護的目標,導入多個不同國家或私人公司所收錄的漏洞數據庫(National Vulnerability Database),知道過去同類系統受攻擊的模式,SIEM才能在事故發生時,可以即時甚至預先作出反應。

        建立一個安全的系統,目的是預防攻擊,降低系統癱瘓影響公司營運的機會。正如人一樣,預防勝於治療。

TOZ聯合創辦人

龐博文


hd