去年八月,台積電遭病毒感染導致產線當機的駭客攻擊事件還歷歷在目,許多台灣廠商也積極開始思考如何提升資安防護的能力,以AI、大數據及機器學習等最新技術,迎戰未來多雲、混合雲加上物聯網的網絡環境下,越趨複雜的資安威脅。
對此,微軟也加快在台灣的資安布局,以滿足各大廠商的安全需求。他們不僅在去年於台灣推出以硬體安全為主要考量的雲端物聯網平台Azure Sphere、更與IC設計大廠聯發科合作,研發首款支援Azure Sphere的物聯網微控制器MT3620,為物聯網設備提供企業級的防護。
上個月,微軟也首度在台灣推出奠基於雲端的新世代資安事件管理平台系統「Azure Sentinel」。資安事件管理平台在業界稱為SIEM(Security Information and Event Management),是一個有將近20年歷史的產業。微軟全球資安技術長黛安娜・凱利(Diana Kelley)表示,傳統SIEM絕大多數都只部署在自家公司的資料中心內,但面對多樣化的資料存取平台不斷出新,凱利表示:「SIEM市場必須大幅度地轉型、更新。」
AI、大數據助攻,新世代SIEM降低誤判機率
傳統的SIEM通常是「規則型」的平台。也就是說它必須透過特定規則的設定,才能捕捉到威脅事件。這樣的SIEM有幾項痛點:第一,許多規則必須要手動調整,但網路世界的資安威脅變動快速,SIEM的防禦能力不一定能趕上變化;第二,任何的SIEM都會發生誤判的情況,如何減少誤判,讓資安人員不需浪費時間來處理,始終是一大問題。
凱利表示,奠基於雲端新世代SIEM系統就是以AI和大數據分析的能力來解決上述的問題。以Azure Sentinel的SIEM為例,它就是以AI偵測資安威脅,並透過大數據分析來防護多雲環境下的各項裝置及應用程式。
AI和大數據分析究竟怎麼提升SIEM的性能?在AI方面,新世代的SIEM可以透過AI的機器學習,使得電腦得以用像是AlphaGO推算不同棋局路線一樣的深度剖析方式,找到傳統SIEM的規則抓不出來、表面上看似無害但其實有風險的資安事件。
傳統規則型SIEM的判斷很絕對,有風險和沒有風險一刀論斷。但Azure Sentinel就是在一般的規則設定外再加上機器學習的技術,對資安事件進行長時間監控,Azure Sentinel會提升該資安事件的風險性,並將它列入威脅名單,平台不會只關注單一事件,而是把各項因素都列入考量。
至於在大數據方面,透過長時間、大範圍的數據追蹤,新世代的SIEM得以看出某些事件的規律性,從而能夠制定新的規則。「在Azure上我們每天有6.5兆筆資料在跑,如何將它們變成優勢,而不是被海量的資料淹沒是很關鍵的事,」凱利說,「AI和大數據分析的應用,讓我們可以 在多雲的複雜環境裡找到異常事件、降低誤判機率,並用最快的時間啟動防護機制。 」
接受資料有被竊取的風險,強化企業的資安抵抗力
當然,除了資安公司懂得運用AI,意圖犯罪的黑帽駭客也正透過AI加強他們的攻擊能力。「鎖定特定人士的魚叉式網路釣魚(Spear phishing)已經不稀罕了。透過AI,有心人士可以更精確地了解你這個人,包含你的交友網絡、工作內容及網路行為等。我稱之為雷射型網路釣魚(Laser phishing),」凱利說。
「更重要的是,這些攻擊者已經是以一整間公司的方式在運作。你可以從他們的攻擊時段發現他們不僅週末會放假,平日還會有午休時間。而有些攻擊團體甚至不會直接利用他們找到的漏洞,反而會把這些漏洞賣給別人來賺錢。」凱利說。
更新傳統SIEM自然是主要的解決方案之一,但這背後也代表企業的思維需要有大幅度的改變。舉例來說,過去某些的營運技術(OT)人員會認為,透過氣隙(Air gap)的技術將重要資料存入永不連上網路的電腦,藉此防止駭客竊取是最好的防禦策略。但即便如此,也已經有資安專家找到破解的方法,得以潛入未連網的電腦裡。
凱利認為,過去那種希望達到「完全防禦」的心態,已經不符合現狀。「網路系統發展得太複雜了,要隨時保護所有資料幾乎是不可能的。企業應該要學會接受資料有被竊取的風險,」她說,並學習如何在最快的時間內,從防禦模式切換到偵測及反應的模式。
「速度」成為企業面對新型態的資安威脅時,最重要的環節之一。要有夠快的反應速度,就需要更加大量的資料讓AI來判讀。單單一家企業能搜集的資料是有限的。或許正如同凱利所說:「 我們這些在明處的企業,應該要互相分享數據及資料。跨產業的合作,才能進一步增強我們的抵抗力。 」
責任編輯:陳映璇