2022年08月01日
資訊安全新知分享
NEITHNET 資安實驗室
COVID-19疫情爆發以來,隨著員工在家上班與在辦公室上班並行的混合上班模式,儼然成為企業新常態。混合上班模式的優點有很多,例如:時間更有彈性、降低染疫影響生產力,但也不可否認地帶來了一些網路資安問題。由於在家上班的環境與伺服器安全性不足,使得企業的受攻擊面因而擴大,讓企業很難精確掌握駭客到底是如何入侵並發動攻擊,而資訊人員又該如何在第一時間攔截勒索病毒的攻擊,成為首要解決的難題。另外,大部分企業很可能尚未投入足夠的資金來為伺服器建置與端點相同等級的勒索病毒防禦,負責維運員工也未必具備資安專業能力,更不利於企業防範勒索病毒的威脅。
「託管式偵測及回應」(Managed Detection and Response,簡稱MDR)是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業資安團隊的輔助:由資安廠商的研究人員和工程人員來協助客戶監控網路、分析事件、回應各種資安狀況。MDR提供的是 7 天 24 小時不間斷的監控,甚至第一時間進行攔截阻禦,保全企業避免受到駭客威脅。即便是Work From Home抑或在外業務需求,都能提供即時的監控和防護。
而「資訊安全監控中心」(Security Operation Center, SOC),為即時掌控企業資訊安全狀態的單位。成立目的為整合並管理組織各種情況下的資安訊息,對資安事件依管控機制緊急應變,並整合及分析安全事件,確保企業資訊安全。
SOC 提供的服務包含:
1、監控與管理用戶之資安系統與設備
2、執行定期網路安全掃描,達到全天候之安全與回應
3、入侵偵測系統、VPN、防毒系統之架設、設定與管理
4、資安事件處理
5、資料分析、評估與預警
6、提供資安環境改善建議。
整合MDR服務與SOC,能提升網路整體可視性及事件通報之追蹤管理,整合端點異常活動,確保各資安事件即時通報。過去資安事件的處理,最棘手耗時的過程,無非是確認擴散範圍和入侵分析,並且依據企業的規模和IT維運管理方式,產生不同的難度和複雜度,更加影響鑑識的時程,甚至造成企業業務停擺。不過透過SOC和MDR的整合,企業和資安廠商攜手合作,即可精確的掌握資安異常的端點,整合並明確匡列範圍,即時處理資安事件,回報並驗證成果是否符合預期,以利擬定日後更加完善的策略,以及加強不足的部分,來確保達到企業資料和網路安全,大幅降低被駭風險,保全企業營運無虞。