近幾年資料外洩事件頻傳,任何公司或營利組織都很有可能遭到駭客的攻擊,其中又以觀光產業常常成為駭客主要攻擊的目標,例如:飯店業者、航空公司、旅遊業等…,這些有著大量個資的公司對駭客來說,能取得的利益極大,因此攻擊事件頻傳。
駭客攻擊真實案例分享
2018年9月,萬豪集團旗下的喜達屋酒店的資料庫遭受到駭客的入侵,總計高達5億的房客資料遭盜取,其規模僅次於2013年的30億筆。
事出必有因讓我們先回到2014年,當時萬豪集團名下酒店的資料庫遭到了未經授權的訪問,資安人員並沒有特別追蹤這特徵點,只是單純的封鎖來源跟後續維護的處理,事實上此未授權的訪問正是駭客駭進了資料庫。
2018年9月,萬豪國際收到一條內部安全工具發出的關於第三方試圖訪問喜達屋賓客預訂數據庫的警報,未經授權的第三方已複製並加密了某些信息,並採取措施將該信息移出,此時該公司才發現問題且聘請資安顧問調查。
經過資安顧問團隊調查與分析,2018/11/19萬豪國際成功解密該等信息,並才確定信息的內容來自喜達屋賓客預訂數據庫。為時已晚,駭客已竊取了2014年至2018年的客戶資料,這些資訊包含有3.27億人的個資:姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼等..
為何會造成這麼大的資安危機?
上述的資安事件,有以下兩大問題:
1.人員未能準確判斷
在2014年時,其實資安人員有透過端點防護系統,發現有惡意行為的發生,但卻因為資安人員的輕視造成了當下並沒有分析出可能的威脅,最終導致2018年的大規模的資料外洩事件。
2.事件偵察能力緩慢
雖然萬豪國際第一時間已聘請專業資安團隊來解決問題,但可以看出分析問題需要大量的時間,直到兩個月後才真正抓出問題點並改善,長時間的響應可能造成企業更多的損失。
針對上面提出的問題,我們可以使用符合SOAR流程的工具來解決問題。
什麼是SOAR?
SOAR (security orchestration automation and response)是Gartner於2017年提出由安全編排、自動化、響應所組成的一套流程,利用撰寫playbook (劇本)的方式來編排資安防禦政策,規劃出一套標準化的流程,也就是我們的編排,接著將現有不同的資安產品所蒐集到的資訊整合,透過腳本自動化的運行,這樣自動化的方式就不必每件事情都需要人力解決,最後將AI的數據分析和資安告報呈現給維運人員,維運人員只需要跟據最後的響應來做出相對應的資安防護。
SOAR的核心
加快回應速度:
針對前述的真實案列,我們可以點出SOAR四個核心價值,首先因為有了AI協助分析事件,因此不必再花大量的時間主動分析問題
→不用再花兩個月讓資安顧問進行調查,響應時間大幅縮短
標準化流程:
再來透過劇本編排,標準化資安防護流程並自動化的防禦,減少人為判斷的疏失
→ 2014年也許就能將駭客的攻擊遏止在搖籃裡。
降地風險:
有了標準化的AI及縮短回應速度可以有效的降低安全風險以及企業的損失
→ SOAR的導入帶來自動化的益處
協作和學習:
最後情資的蒐集越多,AI自動學習時間越長,分析報告跟調查品質都會提升,也利於playbook的更新
→ 更加完整的資安防護
導入 SOAR 前
沒導入SOAR時可能遇到的窘境:
大量的安全Alert、logs 都需要分析師得介入與分析,可能又因為不同的資安系統,讓分系過程所花費的時間更長,安全分析師沒有一套定義好的標準流程,來處理繁瑣的資安事件,傳響應時間長、人工介入多,相關處理的過程難以定量評估,甚至造成誤判的狀況發生,又如果公司有人員離職,新進員工可能需要花費大量時間學習和培訓。
導入SOAR後
原本於各種不同平台的工具被整合成可視性的介面,讓我們更快速更容易的操作平台去做檢視,且AI自動化標準化了執行流程使得我們不必在消耗大量的人力去查閱事件。
可以看到畫面上的方框,可以是不同的資安系統或是判斷條件,透過標準化流程達到自動化防禦,這些劇本可以是人工制定的,或是直接利用協作平台中內建的劇本。
對分析師來說,當playbook(劇本)編排完整後,只需針對AI提供的log進行檢視即可,維運人員也不需要做過多的操作。
一樣的,對企業來說這本腳本並不會因為有人離職而消失,如果有新進資安人員,也可以用更短的時間培訓。
結論:
目前市面上已經有許多產品都導入AI自動化,導入自動化對企業來說勢在必行,其中也包含資安攻擊方式,那麼利用AI自動化的特色賦予它為我們進行資安防禦的任務,打造一個高敏捷、高安全的資安環境是未來每個企業必備的事項。
此文由【網路系統工程師養成班】賴宥霖學員之專題分享