FortiSIEM 事件蒐集及風險管理解決方案

Fortinet FortiSIEM 是次世代 SIEM 平台 (Security Information and Event Management)，透過收集跨品牌、多樣化的資訊來源，將原本各自獨立運作的 SOC (Security Operation Center)、NOC (Network Operation Center) 功能整併，讓維運管理團隊能全方位照護到資通訊基礎建設的安全性、效能以及可用性。支援超過 400 種設備，融合 AI、ML 技術的智能分析與精準告警，提供資安事故協作與自動化回應能力 (SOAR：Security Orchestration, Automation and Response)，是企業對抗新型態資安威脅的最佳選擇。

在世界各國造成重大災情的 COVID-19，至今已有超過千萬人感染，不少企業運用遠端辦公機制，維持商業流程的正常運作，此舉容易忽略躲藏在疫情背後的資安威脅。根據 Fortinet 旗下 FortiGuard Labs 研究報告指出，釣魚郵件、植入病毒的網站、加密勒索軟體等威脅持續增加，在 2020 年 3 月監測到的惡意程式數量增加 131％。

RaaS 問世帶動勒索軟體攻擊風潮
隨著企業對資安日益重視，每年在資安預算上支出持續增加，根據Gartner 研究報告指出，2019 年全球資安預算支出高達 1240 億美元，但這並不代表企業能免於資安威脅。

相較過往，2020 年的勒索軟體攻擊比以往更為強烈，除了經濟利益驚人、運用 COVID-19 疫情掩護外，市面上更有勒索軟體即服務（RaaS）出現。即便新手駭客欠缺足夠專業知識，也能運用 RaaS 製造變種勒索軟體，對企業持續發動攻擊。

受限於軟體開發時程縮短，軟體設計師缺乏資安專業下，全球零日漏洞數量呈現快速攀升的趨勢，發動零日攻擊的事件也時有所聞，這代表即便企業建置許多的資安防護機制，也無法有效阻擋惡意軟體入侵，唯有整合人員、流程、技術等三大元件組成的網路安全維運計畫，才能事前探知環境異常狀態與行為，在資安攻擊鏈中有效地將潛在威脅阻斷，及時回應資安事故並執行緩解措施，進而把資安威脅可能造成的損害降到最低，甚至達到防患於未然的先期預警目的。

面對日益攻擊氾濫的勒索軟體，Fortinet 建議企業可運用三個資安策略相互搭配使用，包括端點的檢測與回應 (EDR：Endpoint Detection and Response），保護端點裝置免遭勒索軟體或惡意軟體攻擊。部署高效能內網防火牆 (ISFW：Internal Segmentation Firewall），能有效監控與保護重要網段，將資安威脅阻絕隔離在特定網段，防止威脅在內網橫向擴散。建立自動化資安事故回應與協作流程，透過 AI、ML 技術，智能分析日誌與多方的資訊來增進告警的精確性，與各式資安防護解決方案聯動協防，訂定通報處理政策並將事故回應自動化，有效阻斷勒索軟體等惡意程式入侵。

資安人才不足 SOAR 重要性日增
企業持續運用資安工具強化防護能力，但近來依然頻頻傳出有國際級企業、政府組織爆發被駭客入侵，以至於爆發大量個資外洩的事件。箇中關鍵非資安設備建構不足，反而是因需要同時監控多種資安設備的畫面，以及未經關聯分析的資安告警過多，導致告警疲乏，欠缺完善自動化回應機制，在網路安全人員不足的狀況下，自然無法從大量告警訊息中找出真正的資安威脅。

根據統計，全球資訊安全人才缺口高達 400 萬人，對於企業或資安服務供應商的 SOC，造成前所未有的極大挑戰。因此，若能運用次世代 SIEM 平台加上 SOAR 功能，整合來自各種資安設備發出的告警訊息，自動執行威脅分析和重複性任務，即能加速事故處理與回應能力。換句話說，企業只需要預先制定相關處理政策與流程，一旦發生資安威脅時，便可自動運用多種資安工具進行自動化回應，節省寶貴的資源支出，同時降低 SOC 團隊的工作負擔。

Fortinet FortiSIEM 功能突出可自動分析回應資安威脅
因應各國的資安法規日益複雜，加上公司內部有眾多資安管理設備，造成資安人員工作負擔大增，帶動企業引進次世代 SIEM 與 SOAR 工具的風潮。有別於傳統 SIEM 解決方案， FortiSIEM 收集跨品牌資安與網路設備各種資訊與記錄，包括日誌 (logs)、效能指標 (performance metrics)、SNMP Traps、資安告警 (security alerts)、組態變更 (con­guration changes) 等資訊，經解析處理轉換為相同格式的事件，方便監看、即時搜尋、自動關聯規則，可同時滿足 SOC、NOC 的監看管理需求，除了分析與管理所有的資安事件與記錄外，也能即時監看掌握網路與設備效能資訊與可用性。內建的派工管理系統、與其他資安設備協作聯防的事故緩解措施腳本、自動化通報與回應處理的政策管理，企業無須額外的花費即可擁有事故處理協作與自動化回應能力 (SOAR)。另外，FortiSIEM 也提供高彈性擴充架構與支援多種虛擬化平台，能滿足企業快速成長需求，完全不會受到單一硬體設備規格與效能限制。

為降低資訊人員的維運管理負擔，FortiSIEM 能在單一 HTML5 圖形化管理介面中，呈現系統管理 、資源庫管理 、設備組態管理 (CMDB：Configuration Management Database)、 事件關聯分析、儀表板、告警事故管理與派工管理等資訊。尤其 FortiSIEM 還進一步運用 AI、ML 技術， 結合 FortiGuard Labs 全球情資服務，分析大量資訊中的異常行為，讓告警事故更為精確。為了因應進階持續性威脅 (APT：Advanced Persistent Threat) 的日新月異，FortiSIEM 將告警事故依 MITRE ATT&CK 資安框架所定義的資安攻擊鏈 12 個戰術階段來進行關聯分析，讓維運人員可快速檢視終端或資安設備在資安攻擊鏈中所觸發的告警與異常行為，有效預防及發現可能的進階持續性威脅。

整體而言，在資安威脅日增、資安人力不足下，FortiSIEM 能讓資安設備發揮既有效益，助企業解決種種資安挑戰，堪稱是因應新型態攻擊手法的最佳選擇。