公司簡介 代理產品 活動快訊 eDM 聯絡我們
   

產品方案

Arbor Virtual APS 虛擬版DDoS主動防禦系統 - 電腦軟體標採購方案
Npartner IT維運管理平台 - 獨步全球的內網大數據儲存分析
F5 Next Gen DDoS 防禦新架構:決戰境外才是有效協助企業免於DDoS攻擊威脅
管理加密流量 不可不知的五件事 (Blue Coat ETM)
Gigamon GigaSECURE資安訊息派送平台功能強悍 協助資安人員打造完美防禦機制
Arbor 助企業抵禦 DDoS 與 APT 雙威脅
DDoS 何以導致商務的風險
Nutanix 超融合基礎架構
Blue Coat 新SSL可視性解決方案 揭示加密傳輸隱藏安全風險
F5 針對網路不同層級的 DDoS 攻擊提供精簡強力的防護
F5 Networks WAF 網站防護政策 + 網頁服務體驗
拒當網路速度變慢的代罪羔 - Extreme Purview 幫您找出真正問題

 

 

 

 

中芯數據APT資安事件回應與處理

【案例解說】

事件處理的挑戰

• 缺乏可行動的情報
• 查看多重紀錄來源是相當耗時的事
• 僅透過紀錄難以對安全事件進行優先排序
• 追蹤惡意軟體無法產生威脅的環境
• 僅依靠隔絕攻擊活動的人為因素察覺攻擊跡象
• 僅透過紀錄難以對安全事件進行優先排序

縮短事件處理調查的週期

事件處理人員、安全分析師與安全作業中心 (SOC) 主管皆會面臨安全性事件優先排序的挑戰。一般組織每年會遭遇大約 135 次「重大」安全事件,必須花費一至兩天的時間調查單一事件,甚至可能需要二至三天才能實際回應該事件。在如此大量的事件下,要決定優先處理的項目很不容易,即會出現優先排序的挑戰。

團隊因時間限制,通常僅能處理具立即性,但是缺乏相關資料的威脅,同時採取任何優先措施有效抵禦該威脅。於此基礎下,有兩種彼此衝突的力量會使發生的問題不斷加劇:1) 過時的方法,會導致團隊僅能使用緩慢、令人受挫的人工方式處理事件,甚至僅能採取臨機操作的反應式措施,2) 傳統技術無法提供攻擊活動的相關資訊及對威脅建立廣域的關聯性。

絕大多數的組織都會部署多重感測器以蒐集紀錄:防毒、HIPS、防火牆、DLP及 DPI。這些紀錄不僅會蒐集實用的資訊,且通常可提供實用的資訊,讓團隊能針對資料進行某種程度的分析。但是,在發生資安事件時,事件處理團隊除了必須負責管理整個資安事件處理流程外,往往還會需要背負大量紀錄的分析作業。

在這樣的條件下,當資安事件發生時,事件處理團隊被迫針對幾乎永無止盡之紀錄進行篩選,卻無法解譯真正重要的資訊,不僅耗時且昂貴,同時無法追蹤任何實際的攻擊行為。團隊缺乏方法可察覺有效的攻擊活動,尤其是在敵人進行偽裝、重新武裝並對脆弱系統施展一連串攻擊舉動時。

 

制訂即時事件處理作業流程

沒有任何單一安全方案能獨自解決所有的問題,因此需要有多層、有彈性的措施。根據安全守則,當團隊僅能追蹤侵入者時,很可能導致事件處理失敗,必須有能力在所有受感染的主機中快速識別攻擊行動,並可全面察覺敵人在企業系統內橫向執行的所有行動,才能成功地處理資安事件。

將網路和主機所安裝的感測器的資訊彙整後,透過使用便利的平台和作業流程有效地分析該資料,大幅減輕事件因應人員的負擔,將有助於達到更優異的流程管理。

 

使用中芯數據Sentinel進行事件因應

CounterTack Sentinel 能讓安全團隊以簡單的方式監控惡意活動,首要工作就是瞭解會遭受最嚴重威脅衝擊的資產與系統。

事件處理人員能使用 Sentinel 排除以人工作業進行事件調查,讓團隊能以具高度信心、經過協調的方式因應。Sentinel 能自動處理部分工作,例如停止惡意程式與雜湊,甚至隔離或封鎖端點。同時 Sentinel 的情報引擎仍能為團隊提供事件的重要詳情,包括根本原因以及事件的衝擊範圍。

由於 Sentinel 的核心模組是安裝在個人主機和伺服器端點上,並持續在隱匿模式中蒐集資料,因此敵人無法偵測到,於此情形下,操作人員將能清楚瞭解持續性活動,以及獲得有關行為的相關資訊,包括:

• 即時知悉受感染的系統為何,以及何者的風險最大?
• 這些系統如何受到感染,哪些行為顯示已受到入侵?
• 即時識別攻擊活動的人為因素,無須等待到發現被入侵後,才進行鑑識調查。
• 全面分析偵測到的可疑活動,並指出未及時因應該行為,可能對全部系統造成的短期衝擊和長期關聯性。

 
笛雅
科技
客戶端專線
0800.016.818
逸盈
科技
經銷商專線
台北 (02) 6636-8889#123
新竹 (03) 621-5128#204
台中 (04) 3606-8999#325
高雄 (07) 862-8889#15