善用 Fortinet FortiSIEM 對抗新型態資安威脅

整合 SOC、NOC 強化即時回應能力

台北報導 - 2020年9月19日
-

 

Fortinet FortiSIEM 是次世代 SIEM 平台 (Security Information and Event Management),透過收集跨品牌、多樣化的資訊來源,將原本各自獨立運作的 SOC (Security Operation Center)、NOC (Network Operation Center) 功能整併,讓維運管理團隊能全方位照護到資通訊基礎建設的安全性、效能以及可用性。支援超過 400 種設備,融合 AI、ML 技術的智能分析與精準告警,提供資安事故協作與自動化回應能力 (SOAR:Security Orchestration, Automation and Response),是企業對抗新型態資安威脅的最佳選擇。

在世界各國造成重大災情的 COVID-19,至今已有超過千萬人感染,不少企業運用遠端辦公機制,維持商業流程的正常運作,此舉容易忽略躲藏在疫情背後的資安威脅。根據 Fortinet 旗下 FortiGuard Labs 研究報告指出,釣魚郵件、植入病毒的網站、加密勒索軟體等威脅持續增加,在 2020 年 3 月監測到的惡意程式數量增加 131%。

Fortinet FortiSIEM counters new threats to security
資安 (SOC) 與網維 (NOC) 融合式分析,所有告警事故分類及優先處理順序一目了然

Fortinet FortiSIEM counters new threats to security
導入智能分析 (AI)、機器學習 (ML) 並與 MITRE ATT&CK 資安框架進行關聯分析,有效偵測防禦進階持續性威脅 (APT)

RaaS 問世帶動勒索軟體攻擊風潮

隨著企業對資安日益重視,每年在資安預算上支出持續增加,根據Gartner 研究報告指出,2019 年全球資安預算支出高達 1240 億美元,但這並不代表企業能免於資安威脅。

相較過往,2020 年的勒索軟體攻擊比以往更為強烈,除了經濟利益驚人、運用 COVID-19 疫情掩護外,市面上更有勒索軟體即服務(RaaS)出現。即便新手駭客欠缺足夠專業知識,也能運用 RaaS 製造變種勒索軟體,對企業持續發動攻擊。

受限於軟體開發時程縮短,軟體設計師缺乏資安專業下,全球零日漏洞數量呈現快速攀升的趨勢,發動零日攻擊的事件也時有所聞,這代表即便企業建置許多的資安防護機制,也無法有效阻擋惡意軟體入侵,唯有整合人員、流程、技術等三大元件組成的網路安全維運計畫,才能事前探知環境異常狀態與行為,在資安攻擊鏈中有效地將潛在威脅阻斷,及時回應資安事故並執行緩解措施,進而把資安威脅可能造成的損害降到最低,甚至達到防患於未然的先期預警目的。

面對日益攻擊氾濫的勒索軟體,Fortinet 建議企業可運用三個資安策略相互搭配使用,包括端點的檢測與回應 (EDR:Endpoint Detection and Response),保護端點裝置免遭勒索軟體或惡意軟體攻擊。部署高效能內網防火牆 (ISFW:Internal Segmentation Firewall),能有效監控與保護重要網段,將資安威脅阻絕隔離在特定網段,防止威脅在內網橫向擴散。建立自動化資安事故回應與協作流程,透過 AI、ML 技術,智能分析日誌與多方的資訊來增進告警的精確性,與各式資安防護解決方案聯動協防,訂定通報處理政策並將事故回應自動化,有效阻斷勒索軟體等惡意程式入侵。

資安人才不足 SOAR 重要性日增

企業持續運用資安工具強化防護能力,但近來依然頻頻傳出有國際級企業、政府組織爆發被駭客入侵,以至於爆發大量個資外洩的事件。箇中關鍵非資安設備建構不足,反而是因需要同時監控多種資安設備的畫面,以及未經關聯分析的資安告警過多,導致告警疲乏,欠缺完善自動化回應機制,在網路安全人員不足的狀況下,自然無法從大量告警訊息中找出真正的資安威脅。

根據統計,全球資訊安全人才缺口高達 400 萬人,對於企業或資安服務供應商的 SOC,造成前所未有的極大挑戰。因此,若能運用次世代 SIEM 平台加上 SOAR 功能,整合來自各種資安設備發出的告警訊息,自動執行威脅分析和重複性任務,即能加速事故處理與回應能力。換句話說,企業只需要預先制定相關處理政策與流程,一旦發生資安威脅時,便可自動運用多種資安工具進行自動化回應,節省寶貴的資源支出,同時降低 SOC 團隊的工作負擔。

Fortinet FortiSIEM 功能突出可自動分析回應資安威脅

因應各國的資安法規日益複雜,加上公司內部有眾多資安管理設備,造成資安人員工作負擔大增,帶動企業引進次世代 SIEM 與 SOAR 工具的風潮。有別於傳統 SIEM 解決方案, FortiSIEM 收集跨品牌資安與網路設備各種資訊與記錄,包括日誌 (logs)、效能指標 (performance metrics)、SNMP Traps、資安告警 (security alerts)、組態變更 (con­guration changes) 等資訊,經解析處理轉換為相同格式的事件,方便監看、即時搜尋、自動關聯規則,可同時滿足 SOC、NOC 的監看管理需求,除了分析與管理所有的資安事件與記錄外,也能即時監看掌握網路與設備效能資訊與可用性。內建的派工管理系統、與其他資安設備協作聯防的事故緩解措施腳本、自動化通報與回應處理的政策管理,企業無須額外的花費即可擁有事故處理協作與自動化回應能力 (SOAR)。另外,FortiSIEM 也提供高彈性擴充架構與支援多種虛擬化平台,能滿足企業快速成長需求,完全不會受到單一硬體設備規格與效能限制。

為降低資訊人員的維運管理負擔,FortiSIEM 能在單一 HTML5 圖形化管理介面中,呈現系統管理 、資源庫管理 、設備組態管理 (CMDB:Configuration Management Database)、 事件關聯分析、儀表板、告警事故管理與派工管理等資訊。尤其 FortiSIEM 還進一步運用 AI、ML 技術, 結合 FortiGuard Labs 全球情資服務,分析大量資訊中的異常行為,讓告警事故更為精確。為了因應進階持續性威脅 (APT:Advanced Persistent Threat) 的日新月異,FortiSIEM 將告警事故依 MITRE ATT&CK 資安框架所定義的資安攻擊鏈 12 個戰術階段來進行關聯分析,讓維運人員可快速檢視終端或資安設備在資安攻擊鏈中所觸發的告警與異常行為,有效預防及發現可能的進階持續性威脅。

整體而言,在資安威脅日增、資安人力不足下,FortiSIEM 能讓資安設備發揮既有效益,助企業解決種種資安挑戰,堪稱是因應新型態攻擊手法的最佳選擇。

 

更多資訊

關於Fortinet ( www.fortinet.com/tw )

Fortinet ( NASDAQ : FTNT ) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的可視性與控制力,以因應日趨擴大的攻擊範圍,並滿足今日與未來不斷增長的效能需求。唯有 Fortinet 安全織網 ( Security Fabric ) 能解決最嚴苛的安全挑戰,為網路、應用程式、多雲或邊緣環境中的數位基礎架構提供滴水不漏的資料防護。 Fortinet 的安全設備出貨量在全球排名第一,並深受全球 44 萬多名客戶的信任。 Fortinet 網路安全專家( Network Security Expert, NSE ) 研究院不只是科技公司,也是教育機構,提供業界最完整的資安培訓課程。如需更多資訊,請至 http://www.fortinet.com 、 Fortinet 部落格 或 FortiGuard 實驗室 。

FTNT-O

Copyright© 2020 Fortinet, Inc 。保留所有權利。符號®和 TM 分別代表 Fortinet 公司、其子公司及相關企業的聯邦政府註冊商標和普通法商標。 Fortinet 的商標包括但不限於 Fortinet , FortiGate , FortiGuard , FortiCare , FortiManager , FortiAnalyzer , FortiOS , FortiADC , FortiAP , FortiAppMonitor , FortiASIC , FortiAuthenticator , FortiBridge , FortiCache , FortiCamera , FortiCASB , FortiClient , FortiCloud , FortiConnect , FortiController , FortiConverter , FortiDB , FortiDDoS , FortiExplorer , FortiExtender , FortiFone , FortiCarrier , FortiHypervisor , FortiInsight , FortiIsolator , FortiMail , FortiMonitor , FortiNAC , FortiPlanner , FortiPortal , FortiPresence , FortiProxy , FortiRecorder , FortiSandbox , FortiSIEM , FortiSwitch , FortiTester , FortiToken , FortiVoice , FortiWAN , FortiWeb , FortiWiFi , FortiWLC , FortiWLCOS 與FortiWLM

所有其它提及之商標各歸其擁有者所有。 Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet 的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。