Taiwan
Displaying present location in the site.
全年365天24小時監視!
從千變萬化的網路攻擊中守護企業安全的NEC「安全監控中心」- 有松
-
順帶一提,即使是認為「我們沒有可以偷的機密所以沒問題」的企業,也同樣無法安心。
- 三田
-
您的意思是?
- 有松
-
舉例來說,即使企業認為「沒有可以偷的機密」,但只要偷走了那間企業員工的電子信箱,便能偽裝成該人員,將潛藏了惡意軟體的郵件寄給其他企業。現在已經有許多開啟郵件後便使電腦受到病毒感染,在不知不覺間將機密流出的案例。
- 三田
-
如果是這樣的話,受害的可能性不就比我們想像中還要來得高嗎?
- 有松
-
沒錯,所以我們認為不管是哪間企業,最好都不要太過自信地認為「本公司絕對沒問題」,應該要再次審慎檢討Cyber Security,才能保障自身的安全。
NEC的獨家技術是什麼呢?
具備SOC的「Cyber Security Factory」(入口)
- 三田
-
請問NEC的獨家技術是指什麼呢?
- 有松
-
因為這項技術難以和其他公司作比較,所以我不確定這是否能稱為獨家,但我們是將著重在「如何提高偵測網路攻擊的精準度」、「如何有效率地分析」及「若有新技術便應該試試看」這三點上。除此之外,這項技術的另一個特色是監控範圍比一般SOC更為廣泛。
- 三田
-
更為廣泛是指?
- 有松
-
- 目前為止,日本國內一般的SOC皆採取以防火牆(※1)或IDS/IPS(※2)為主要監控對象的監控方法。
- ※1 防止外部以不正當手段連線至內部的設備(例如藉由網際網路連線至企業內等)。
- 目前為止,日本國內一般的SOC皆採取以防火牆(※1)或IDS/IPS(※2)為主要監控對象的監控方法。
- 三田
-
是的。
- 有松
-
- 但是正如我剛才所說的,因為網路攻擊逐漸複雜化,只監控防火牆或IDS/IPS已經無法判斷是否遭受網路攻擊,所以無法偵測出攻擊的案例也逐漸增加了。於是我們開始著手檢查包含電腦等終端設備以及伺服器日誌(log)(※)在內、至今為止並未監控的項目。簡單來說,就是將以往採取監控部分項目的模式,修改為監控所有項目。
- ※記錄「啟動」、「停止」、「變更設定」、「通訊的傳遞」等在系統或終端設備啟動中時發生事件的資料。
- 但是正如我剛才所說的,因為網路攻擊逐漸複雜化,只監控防火牆或IDS/IPS已經無法判斷是否遭受網路攻擊,所以無法偵測出攻擊的案例也逐漸增加了。於是我們開始著手檢查包含電腦等終端設備以及伺服器日誌(log)(※)在內、至今為止並未監控的項目。簡單來說,就是將以往採取監控部分項目的模式,修改為監控所有項目。
- 三田
-
哇,那很辛苦呢。只要一想到到底有多少紀錄,我就快暈了。
- 有松
-
如果是大企業的話,通常會使用上千台終端設備,因此我們並不會直接處理這種龐大的紀錄。我們會先用一般工具軟體,加上NEC自己的獨家工具軟體來篩檢大量紀錄,並將篩檢後的紀錄以人工方式判斷「這個不是網路攻擊」或「這是網路攻擊」。
- 三田
-
所以負責進行判斷的就是有松先生您們嗎?
- 有松
-
沒錯,我們部門裡有稱為「分析師」(Analyst) 的專業分析官,每天負責分析由客戶的安全系統傳送過來的紀錄。
分析師們正在分析紀錄。
- 三田
-
具體來說,分析師們都在處理什麼呢?
- 有松
-
我來說明一下這部分的業務吧。舉例來說,在分析師使用的畫面上會持續出現各種日誌檔案(log),而分析師則必須依據這些日誌評斷「這是攻擊嗎」、「這不是攻擊嗎」、「這是重要的攻擊嗎」或是「這只是開玩笑的攻擊嗎」。當分析師進行判斷後,該日誌就會從畫面上消失。如果偵測到新攻擊,便會持續追加新的日誌。所以當分析師使用的畫面上什麼都沒顯示時,便是最正常、最理想的狀態。
- 三田
-
以警察來比喻的話,就是沒有發生任何事件的和平狀態囉?
- 有松
-
沒錯呢(笑)。順帶一提,如果是熟練的分析師,只要用幾秒鐘便能判斷十到二十多項的紀錄喔。
- 三田
-
好厲害!也就是說,快速的判斷力就等於分析師的技術嗎?
- 有松
-
是的,基本上快速的判斷能力就是分析師的技術。除了以經驗累積的判斷力之外,分析師能夠理解所負責的企業紀錄出現何種傾向,也是很重要的一件事。假如一直監控同一家企業的紀錄,便能較容易判斷出「這種的應該不是攻擊」、「這不是平常所使用的通訊傳遞方式,相當可疑」。所以如果讓分析師離開手上負責的企業長達一個月的話,當他要重新承辦時就會有無法抓到紀錄的傾向,得耗費很極大的精神才能找回感覺呢。
- 三田
-
哦~感覺就像是一種專業領域的專家呢。