持續監控(CM)就是利用自動化工具來持續檢查企業的網絡、資訊科技系統及資訊保安基礎架構,即時偵測任何資訊保安威脅、效能或不合規的問題。
目錄
持續監控有時又稱為 ConMon,結合了軟件與硬件工具來將企業網絡、應用程式及基礎架構資料自動化實時蒐集、分析及報表。資料提供了資訊科技環境效能與漏洞的完整資訊。
持續監控是網絡資訊保安平台不可或缺的一環,讓資訊保安運作能夠:
- 檢視資訊科技基礎架構的整體狀況,包括部署在雲端的網絡和應用程式。
- 發掘潛在的資訊保安漏洞
- 即時偵測網絡威脅並迅速解決
- 降低風險
- 保護機密資料
- 提升資訊保安韌性
了解持續監控
隨著網絡威脅的頻率和複雜性不斷成長,再加上分散式系統與全年無休的數碼服務,企業必須隨時掌握其資料、應用程式和基礎架構的安全狀態。定期或批次監控,也就是定期執行定期檢查,檢查企業間可能無法偵測的問題。因此,企業需要更主動的防護。
持續監控的運作方式就是將關鍵的資訊保安功能自動化,它提供下列功能:
- 自動化資料蒐集:來自多個來源,例如系統記錄檔、網絡流量以及應用程式。
- 自動化分析:精準掌握規律、異常狀況及潛在的資訊保安威脅。
- 自動化報表:清楚掌握系統的狀況、效能與資訊保安情勢。
- 自動化回應:即時或近乎即時警示可疑活動,以及/或者採取預先決定的動作。
持續監控的類型
持續監控有三大核心要素:
- 網絡監控。包括檢查網絡流量規律、內傳與外送電郵與網站流量、頻寬利用率、延緩、封包遺失、網絡裝置狀況(路由器、交換器、防火牆)及通訊協定層次的問題。其目的是要了解資料在網絡上的移動是否正常、安全。
- 應用程式監控。例如透過蒐集回應時間、系統運作時間、資源工具、可用性及錯誤率等資料來追蹤軟件應用程式的效能。
- 系統監控。這裡的重點是資訊科技基礎架構,如伺服器、儲存系統、硬件、實體裝置及運算資源。
雖然這些都是持續監控的三大要素,但值得注意的是,許多企業也都包含合規監控。這是確保企業達成合規要求的做法,檢查系統、流程及資料處理是否符合法規要求、產業標準和內部政策。
例如漏洞掃描工具、安全信息和事件管理系統、入侵偵測系統及入侵防護系統等,還有多種工具和技術,其中最重要的兩項是:
- 記錄檔管理與彙整。記錄檔資料是發掘潛在網絡資訊保安威脅的主要資訊來源。因此,從各種來源蒐集資料非常重要,包括用戶活動、應用程式使用情況、系統效能等。這些資料必須從分散系統的各種記錄檔集中彙整至單一位置。過去的系統記錄檔對於建立效能、安全性及用戶行為基準相當有用,因此資訊科技團隊更容易分辨一些異常狀況,例如暴力破解攻擊、密碼噴塗、SQL 資料隱碼攻擊或資料外傳。
- 被動監控。從現有的系統活動中觀察並擷取資料,無須增加測試流量或模擬執行活動。換句話說,被動式監控的重點就是要收錄用戶流量、應用程式記錄檔、網絡封包及系統事件來進行「監聽」。
持續監控的好處
持續監控最大的優勢之一就是能夠改善企業的資訊保安狀況,但其效益卻不止於此。其他還包括:
- 提升視野與透明度。實時檢視整個資訊科技環境,企業就能更有能力在資訊保安問題造成嚴重損害之前加以檢視及回應。
- 強化威脅偵測與事件回應。 速度是網絡資訊保安的關鍵。企業處理威脅的速度越快,所造成的損害就越少。持續監控可依據威脅的嚴重性快速評估威脅,並採取適當行動,有時甚至在威脅中斷系統之前就已開始執行。在許多情況下,自動化警示會傳送給適當的資訊科技團隊,以便他們能立即解決緊急問題。如此可盡可能減少停機時間、縮短平均解決時間,並迅速復原系統與應用程式。透過持續監控蒐集資料,能讓企業在掌握充分資訊的情況下作出保安決策,並且提升韌性,進而降低未來發生問題的機會。
- 改善合規。對於需要遵守 HIPPA、支付卡產業資料防護或歐盟通用資料保護法規的企業來說,通常需要持續監控以確保資料和私隱。再次強調,持續監控提供的強化視野與實時資料能讓企業在資料外洩事件發生前預先發掘漏洞並採取適當行動。
- 提升運作效率與管理。 風險監控有助企業更有效率地管理資訊保安風險、減少停機時間和服務中斷,並且降低成本。此外,持續監控也提供資料來讓您了解並最佳化企業的業務與運作績效。例如,追蹤用戶的行為,就能提升客戶體驗,進而提升客戶滿意度與忠誠度。另一方面,偵測應用程式效能問題意味著在造成意外停機和營收損失之前,就能解決中斷的問題。
實施持續監控
在成功實施持續監控時,企業應該採取一些步驟:
- 釐清目標與範圍。在選擇要監控哪些系統與資料時,務必要採取區別對待,因為要隨時監控一切事情都很昂貴且費力。每個企業都有不同的需求和目標。應諮詢持份者以確保監控資料符合組織、技術和預算的限制。此時,風險評估是個不錯的主意,根據網絡攻擊的風險和潛在衝擊來判斷資產的優先次序。高風險資產需要更嚴格的資訊保安管控,而低風險資產則完全不需。
- 技術選擇。各式各樣的方案都能持續監控。企業應考慮到每項技術的擴充性、彈性及成本效益。
- 監控政策和程序。防護管控有助於保護實體財產與電腦系統,防範資訊保安風險,包括密碼和其他形式的認證、防火牆、防毒軟件、入侵偵測系統及加密措施。企業必須釐清誰負責監控、指派每個管控措施的擁有者、建立資料蒐集標準、設定警示與報表的規則與門檻、規劃如何管理事件,以及定義呈報程序。
- 配置與整合。選擇的技術應與其他資訊科技基礎架構相容,包括軟件應用程式和安全信息和事件管理系統。然後,它必須經過客製化和設定,好讓所有系統都能正常運作。
- 回顧。持續監控並非「設定並忘記」的活動。持續分析對於判斷企業能否達成網絡資訊保安目標至關重要。尤其是持續監控策略必須對應不斷變化的需求或基礎架構,以及新的網絡威脅或潛在風險。
持續監控的挑戰
儘管持續監控的效益相當顯著,但其實還是毫無困難。最值得注意的是,它需要大量投入金錢、時間、技術及人力。從技術層面來看,挑戰可能包括:
- 資料超載與警示疲勞。持續監控會產生大量的資料,進而增加儲存需求和工作負載。因此,在設定持續監控時,務必特別指定高優先次序的資料與系統。
- 警示疲勞。資訊科技團隊很容易因為警告的數量而變得不知所措,其中有些可能是誤判或低風險的問題。這就是像 Runbook 這樣的自動化工具可以與警示整合來解決問題,而不需人為介入。
- 追蹤用戶端活動。今日,員工正使用各式各樣的裝置,包括桌面電腦、筆記本電腦、平板、印表機以及智能手機。這意味著,必須結合不同的持續監控方式來獲得完整視野。
- 確保私隱與資料保護。由於需要追蹤的資料過多,因此務必優先處理,將資產歸類為低、中或高的重要性,以便有效利用資源。
- 整合。由於持續監控牽涉到各種不同的系統、應用程式、資料和工具,因此有可能出現相容性問題。每當企業或基礎架構發生重大變化時,就會面臨新的挑戰。這就是為何經常與所有持份者商量是如此重要,因為要確定監控是否對他們有利或造成干擾。
持續監控的未來趨勢
隨著網絡資訊保安威脅與網絡資訊保安持續演進,持續監控也是一樣。值得注意的一個趨勢是人工智能和機器學習對監控的影響。由於它能檢查大量的資料、偵測模式,並發現人類難以偵測的異常狀況,因此有助企業改善偵測及回應能力。這將帶來更自主決策,讓人工智能採取主動防禦行動並即時回應攻擊。
哪裡可以取得持續監控的協助?
Trend Vision One™ 是唯一能集中管理網絡資訊保安風險 、資訊保安運作及提供強大多層式防護的企業網絡資訊保安平台,協助您預測及防範威脅,加快主動取得資訊保安成效。Trend Vision One™ Security Operations(SecOps) 採用人工智能技術,透過尖端的研究與最新的威脅情報提供客戶基礎架構的重要啟示,讓企業能夠透過單一平台來掌控網絡資訊保安風險,並且更快攔截威脅。