善用巨量資料 理解惡意攻擊的前因後果

安創資訊技術長胡辰澔。

面對層出不窮的資安事件，企業IT管理者的最大期望，並非僅止於在第一時間出手攔阻，而是深切了解該事件的人事時地物，洞察其來龍去脈，只因唯有如此，才能將原始病根清理殆盡，根除日後復發的可能性。

「只不過，單憑傳統工具，無法完全呈現企業IT管理者想看的真相，」安創資訊技術長胡辰澔說，此乃由於，不同的工具挾帶不同介面，各自留存了發散的資訊內容，即使動用資安事件管理平台(SIEM)，將這些散亂訊息整合至單一儀表板，看似已經過有效彙整，但仍經常予人「不知該從哪裡看起」之嘆，同樣未能發揮預期功效。

然而企業就這麼放棄了？當然不行，舉凡防毒軟體、防火牆、入侵防禦系統(IPS)、網頁應用程式防火牆(WAF)、伺服器日誌、應用程式日誌，雖然各有管理介面徒增彙整困難，但它們都是賴以判斷企業資訊安全狀態的必要依據，缺一不可，所以企業IT管理人員仍應設法將它們融會貫通，以期了解資安威脅的真因。

僅靠設備日誌  無法洞悉安全事件原貌

在傳統上，要達到前述目標，似乎仍離不開SIEM，也就是必須倚靠SIEM平台進行Log正規化，接著彙集所有Log，執行關聯性分析，最終透過SIEM儀表板呈現分析報表，若分析結果觸發某些預設安全規則，亦會立即對IT管理者發送告警。

但麻煩的是，隨著資安威脅型態愈顯複雜，企業僅靠內部資安設備、應用程式或伺服器日誌的交叉比對，已無法還原資安事件全貌，其餘諸如Web應用資料、語音或通訊數據、電子郵件、效能監控數據、身分管理訊息，甚或是外部資料來源，都有必要一併納入整合分析範疇，如果仍藉由傳統資安事件管理機制來執行此項統合式任務，不免有其問題。

胡辰澔分析，傳統安全管理機制所產出的報表，大抵分為三大類，分別滿足事件調查、事件鑑識、法規遵循等三面向需求；然而只要是管理系統，一定有資料庫存在，經由大量數據的日積月累，勢必會影響I/O效能，再者，由於資訊過於繁雜眾多，導致管理者要嘛「懶得看」，要嘛也很難理解大量資訊的箇中意涵。

如此一來，上述不管是基於事件調查、事件鑑識、法規遵循等目的之相關人士，都面臨共通難題，即是無法即時獲得想要的答案；據統計，在台灣面對每一項安全事件的反應時間，平均落在3？5天水準，更有甚者，往往是肇因於新聞報導、同業口耳相傳，或是受害用戶反應，企業IT管理人員方知已有事故發生，接著才做出必要處置動作，否則自己根本渾然不覺；這般反應速度，與各項法規所要求的15？30分鐘內展開應變，著實差距甚遠。

愈是這樣，愈是讓駭客們額手稱慶，因為他們只需要好整以暇慢慢來，慢慢了解你的整體環境，慢慢滲透你的環境內部，似乎不會遭遇太多挑戰，就能一步步竊取你的機敏資產。

大數據分析加GUI視圖  助企業透析攻擊活動

面對如此險惡的處境，企業應當如何是好？胡辰澔建議應該「Think Outside the Box」，也就是拋開IT管理所熟知的資安事件分析模式，譬如SIEM，轉而推動行為式分析，無論是大量系統、資料，或來自於環境的風吹草動，乃至於外部的GeoIP、黑名單、Watch Lists、媒體報導、社交網路的Chatter，皆可作為企業的情報來源，另以輔以企業本身的智慧分析能量，如此才能真正找出遭受駭客攻擊的問題癥結。

在此前提下，胡辰澔認為，企業不只需要把所有設備的資料一網打盡，也需要針對設想與此事有關的任何非結構化資訊，予以大肆蒐集，並將這些龐大資料通通納進Hadoop平台，執行巨量資料分析，最終再藉由商業智慧(BI)畫面呈現分析成果；值得一提的，Hadoop最令人津津樂道的特色，乃在於其結構可以一直延伸，目前全球最大的運用案例，係動用多達十餘萬台節點串聯成為龐大平行運算？儲存架構，因此企業完全不需擔心資料量過大而致系統難以支撐。

「企業不要把腦袋放在箱子裡，」胡辰澔說，企業一旦跳脫既有資訊安全設備日誌，跳脫SIEM或日誌管理格局，擁抱大數據分析，等於是將視野無限廣大，所能理解的資安事件癥結，絕對比以往多得多。

比方說，安創資訊有一家客戶，透過一年資安資訊的累積，再結合Google Map呈現來源與目標的連線狀況，作為一個可以綜覽全局的雷達圖，繼而自由依據單位、事件名稱、連線事件進行篩選，意外窺見以往看不出的現象，即是每條不同IP連線所構成的曲線過程，都存在若干斷點，經過分析，發現造成這些斷點的外來IP型態、發動攻擊次數皆屬一致，有了這個依據後，該企業甚至可透過What If預測未來攻擊趨勢，並據此抽絲剝繭，逐一詳查現行安全設定何者正確、何者錯誤，從而將企業防禦體質調理到更加健全的狀態，成效可見一斑。