一個企業組織若要能順暢維運,往往包含了數百種的網路設備,對於攻擊者來說,一項設備即代表著一個可以用來竊取機密資料的管道。
大量的攻擊行為迫使網路安全團隊每天都要面對成千上萬的警告訊息,然而,企業內部網路環境多樣的設備經常獨立運作,傳統人工處理網路威脅的運作模式耗時費力,且資安人員技術水平不一致,使得企業無法快速判斷並有效因應來自外部的不間斷攻擊。現今多樣化的企業網路設備,部署方式以及系統架構從實體到虛擬,再到雲端,很難對網路內所有設備的狀況與警告情形一目瞭然,甚至有重複的警告訊息出現在不同資安設備中。
系統性的資安解決方法
根據企業應對網路威脅的需求,一項快速且全面的網路安全解決方案正在受到關注,這類平台被稱為資安協調、自動化與回應(SOAR)。目的在使各種安全工具和系統有更好的合作工作模式,加速威脅反應並提高資訊安全監控中心(SOC)的效率。但是,要想從 SOAR 解決方案中獲得最佳效能,得從不同的資安設備中取得相關數據,這些數據和反饋可以從企業網路所連接的基礎設施(DNS,DHCP 和 IPAM)中獲得。
SOAR 方案提供資安團隊的利多:
- 確認維運操作的優先級別
- 整合來自不同安全工具、第三方資訊和 IT 資料庫的數據
- 集中查看安全事件以確定威脅回應的優先級別
- 正式分類和事件回應
- 加快審查和評估事件,並根據最佳方法開始對安全事件進行補救
- 加速應對威脅,克服資安人員過勞和人員不足而產生的問題
- 自動化工作流程
- 自動執行耗時且平凡的操作,以便 SOC 工程師可以專注於主要任務,例如威脅搜尋
結合網路基礎設施達到網路安全自動化
Infoblox Security Ecosystem 主要目的在於 DNS 受到攻擊時的響應,舉例來說,當 Infoblox 受保護的 DNS 服務設備遭受攻擊者的惡意行為攻擊時,能自動偵測 DNS 查詢的封包行為,啟用保護機制將惡意網域新增至 Response Policy Zone 中,停止惡意的封包行為,並自動使用通用格式,將事件資訊提供給其他資安設備,例如 SIEM、防火牆、Web Proxy,使這些資安設備提前知道此類型的攻擊行為。如此一來,不僅可以縮短事件調查的時間,亦能預先防範未來對其他資安設備相同的攻擊,針對內部環境也可以偵測到內部端點試圖查詢惡意中繼站與其建立連線,阻擋並傳送事件資訊提供給弱點掃描服務設備,讓弱點掃描主動針對此端點的 IP 進行審核,分析該端點是否遭已受控制成為殭屍網路的其中一枚棋子。不但可有效降低受攻擊的時間,並保護企業內部的網路環境與服務運作。
Infoblox Ecosystem 除了能助資安團隊把即將受到攻擊的資訊自動化分享給第三方資安設備加速反應外,為使工作流程更加自動化,Infoblox 同時提供了生態系統整合,讓資安團隊人員能夠獲得內網中完整資產與系統架構的整合資訊,大幅減輕人力與時間的成本,所能提升的資安團隊生產力達三倍之多。此外,還能自動即時地為 SOAR 解決方案提供關鍵設備和安全事件訊息。 在從 Infoblox 接收有關 IP 地址、網路設備和惡意事件的數據後,SOAR 平台可以使用該數據來阻止或取消阻止網域,檢查有關 IP、主機、網路和網域的訊息,並透過該功能豐富安全設備群中的其他安全工具。
(首圖來源:Shutterstock;圖片來源:Infoblox)
科技新報粉絲團
加入好友
訂閱免費電子報
