不論對何種產業類型、跨國集團或本土企業、亦或各種規模大小的企業組織來說,談到勒索軟體攻擊的危害都令所有人聞之色變。前不久又發生駭客集團REvil攻擊遠端監控管理軟體開發商Kaseya,以其軟體漏洞為跳板,對其代管服務供應商客戶及企業用戶發動勒索軟體攻擊的事件。這類結合勒索軟體與供應鏈攻擊的手法層出不窮,這不是REvil第一次犯案而REvil也不是唯一的駭客集團,Kaseya更不是第一個受害者也不會是最後一個。日前行政院發布109年國家資通安全情勢報告中也提到,勒索軟體攻擊已成為常態,如何縮短災害復原耗費的時間將成為關鍵。若遭受攻擊無法避免,自動化回應機制將是能縮短災害復原時間的解答。 靠機器自動應變的SOAR 大幅縮短回應時間
從半導體龍頭大廠、政府機關到中小企業,無以計數的企業組織遭受過勒索軟體攻擊。以知名勒索軟體Wannacry來說,在病毒啟動不到10分鐘內,能迅速感染上百台電腦,電腦立刻呈現藍白畫面。3年前半導體大廠遭遇勒索病毒攻擊,也是在幾小時內就令2個廠區所有電腦與機台中毒。因此,要能快速對勒索攻擊採取應變措施,縮短平均偵測與回應時間,唯有靠新世代安全事件管理系統(NG-SIEM),尤其是讓SIEM與資安協作自動應變系統(Security Orchestration, Automation and Response簡稱SOAR)整合搭配,並與其他資安/網管設備自動協同聯防,才能實現安全完善的自動化回應。 過去不管是自建自管SIEM平台或將資安監控中心(SOC)委由廠商提供代管服務,企業不難發現資安維運團隊經常需要花許多時間進行Alert告警調查、分流處理等例行常態及重複性高的工作。SIEM主要負責長時間搜集日誌並作分析,一旦調查之後該採取哪些因應措施,很大程度是靠人力介入,造成資安應處的動作耗力、費時、效率低、效果差的體現。而NG-SIEM搭配的SOAR主要則是靠機器立刻自動應變來做資安事件應變處理的增強。 SOAR 是如何實現真正的縱深聯合防禦,同時提高資安事件應變處理的可靠度,進而有效提升資安維運團隊事件調查及決策速度呢 ? 閱讀完整文章