持續監控 (CM) 就是利用自動化工具來持續檢查企業的網路、IT 系統以及資安基礎架構,並即時偵測任何的資安威脅、效能問題或違規情況。
目錄
CM 有時也稱為 ConMon,它結合了軟體與硬體工具來即時自動化蒐集、分析有關企業網路、應用程式及基礎架構的資料並產生報表。這些資料可提供有關 IT 環境效能及漏洞的整體狀況。
持續監控是一套嚴密的網路資安平台不可或缺的一環,它讓資安營運 (SecOps) 能夠:
- 查看 IT 基礎架構的整體狀況,包括部署在雲端的網路和應用程式。
- 發掘潛在的資安漏洞。
- 即時偵測資安威脅並迅速解決。
- 緩解風險。
- 保護機密資料。
- 提升資安韌性。
認識持續監控
隨著資安威脅的發生頻率和複雜性不斷攀升,再加上企業採用了分散式系統與隨時上線的數位服務,企業必須隨時掌握其資料、應用程式和基礎架構的安全狀態。定期或批次性監控,也就是按照固定間隔執行的定期檢查,有可能讓企業無法偵測在檢查間隔期間發生的問題,進而讓企業容易遭到攻擊。因此,企業需要更主動的防護。
CM 的運作方式就是將關鍵的資安功能自動化,提供下列功能:
- 自動化資料蒐集:包括多種來源,例如:系統記錄檔、網路流量以及應用程式。
- 自動化分析:精準發掘模式、異常狀況以及潛在的資安威脅。
- 自動化報表:清楚呈現系統的運作狀況、效能及資安狀況。
- 自動化回應:即時或近乎即時地發出可疑活動警報和/或採取預先定義的動作。
持續監控的類型
持續監控包含三大核心要素:
- 網路監控。檢查網路流量模式、內送及外送電子郵件與網站流量、頻寬利用率、延遲、封包遺失、網路裝置狀況 (路由器、交換器、防火牆),以及通訊協定層次的問題。其目的是要了解資料在網路上的移動是否適當、是否安全。
- 應用程式監控。蒐集回應時間、系統運轉時間、資源利用率、可用性、錯誤率等資料來追蹤軟體應用程式的效能。
- 系統監控。主要針對 IT 基礎架構,如:伺服器、儲存、硬體單元、實體裝置,以及運算資源。
儘管一般普遍認為這些就是持續監控的三大要素,但值得注意的是,許多企業還納入了合規監控。也就是檢查系統、流程及資料處理方式是否符合法規要求、產業標準以及內部政策,以確保企業達成合規要求。
持續監控會用到多種工具和技術,例如:漏洞掃描工具、資安事件管理 (SIEM) 系統、入侵偵測系統(IDS)、入侵防護系統 (IPS) 等等。其中最重要的兩種是:
- 記錄檔管理與彙整。記錄檔資料是 IT 發掘潛在網路資安威脅的主要資訊來源。因此,廣泛蒐集各種來源的資料非常重要,包括:使用者活動、應用程式使用情況、系統效能等等。而且,這些資料必須從四處分散的系統記錄檔蒐集、集中、彙整至單一位置。系統的歷史記錄檔對於建立效能、安全性及使用者行為的基準相當有用,這樣 IT 才更容易分辨異常狀況,例如:暴力破解攻擊、密碼噴灑、SQL 資料隱碼攻擊 (SQL Injection),或是資料外傳。
- 被動式監控。這是指從現有的系統活動當中觀察並擷取資料,而不加入測試流量或人造交易。換句話說,被動式監控的重點在於「監聽」實際的使用者流量、應用程式記錄檔、網路封包以及系統事件。
持續監控的效益
CM 的最大優點之一就是能改善企業的資安狀況,但其效益並不僅止於此,還包括:
- 提升可視性與透明度。即時掌握整個 IT 環境的狀況,讓企業更有能力在資安問題造成大規模損害之前,預先看見問題並加以回應。
- 強化威脅偵測與事件回應。速度是網路資安的關鍵,企業應付威脅的速度越快,遭受的損害就越少。持續監控可讓企業快速評估威脅的嚴重性並採取適當行動,有時甚至能在威脅造成中斷之前採取行動。在許多情況下,系統會自動發送警報給適當的 IT 團隊,好讓他們立即解決緊急問題。這樣就能盡量減少停機時間、縮短問題的平均解決時間 (MTTR),並且讓系統與應用程式迅速復原。CM 蒐集到的資料,可作為企業網路資安策略的決策參考,也可提升企業的韌性,降低未來發生問題的機會。
- 改善合規。對於需要遵從 HIPPA、支付卡產業資料安全標準 (PCI DSS) 或歐盟通用資料保護法 (GDPR) 等法規的企業來說,持續監控通常是確保資料安全與隱私權的一項必要手段。同樣地,CM 提供的強化可視性與即時資料,可讓企業在資安事件發生之前預先發掘漏洞並採取適當行動。
- 改善營運效率與風險管理。風險監控可協助企業更有效率管理資安風險、減少停機時間和服務中斷,並且降低成本。此外,持續監控還能提供一些可用來了解及最佳化企業業務與營運績效的資料。例如,追蹤使用者行為有助於改善客戶體驗,進而提升客戶滿意度與忠誠度。另一方面,偵測應用程式的效能問題,也有助於在非預期性停機和營收損失發生之前,預先解決可能造成營運中斷的問題。
建置持續監控
要成功建置持續監控,企業必須採取一些必要的步驟:
- 釐清目標與範圍。在選擇要監控哪些系統與資料時,務必要嚴格篩選,因為若要隨時監控一切,那將是昂貴而缺乏效率。每家企業的需求和目標都不盡相同,企業應諮詢利害關係人的意見來確保監控的內容符合組織、技術及預算上的要求。這方面,風險評估是個不錯的想法,也就是根據網路攻擊的風險和潛在衝擊來判斷資產的優先次序。高風險資產需要更嚴格的資安控管,而低風險資產則可能完全不需要控管。
- 挑選技術。市面上有各式各樣的解決方案都能用來建置持續監控,企業應考慮每一項技術的擴充性、彈性及成本效益。
- 監控政策和程序。資安控管有助於保護實體財產與電腦系統以防範資安風險,包括:密碼及其他形式的認證、防火牆、防毒軟體、入侵偵測系統 (IDS) 以及加密措施。企業必須釐清誰該掌管監控作業、指派每一項控管措施的負責人、建立資料蒐集標準、設定警報與報表的規則與門檻、規劃事件該如何管理,以及定義向上呈報的程序。
- 組態設定與整合。挑選的技術應該與 IT 基礎架構的其他環節相容,包括軟體應用程式和 SIEM 系統。然後還必須經過客製化和設定,好讓所有系統都能互相搭配運作。
- 檢討。正如字面上的意義,持續監控並非「一次搞定就不用再管」的活動,持續分析對於判斷企業是否已達成其網路資安目標至關重要。尤其,CM 策略必須隨著需求或基礎架構的不斷變化,以及新的網路威脅或潛在風險出現而調整。
持續監控的挑戰
儘管持續監控能帶來重大效益,但它並非沒有難度。其中最值得注意的就是,企業需要投入大量的資金、時間、技術和人力。從技術面來看,可能包括以下挑戰:
- 資料超載與警報疲勞。CM 會產生巨量的資料,使得儲存需求和工作負擔變大。因此在建立持續監控時,務必指定哪些是高優先次序的資料和系統。
- 警報疲勞。IT 很容易因為大量的警報而疲於奔命,其中有些可能是誤判或低風險的問題。此時可以利用 Runbook 這類自動化工具來與警報整合,就能自動解決問題而不需人力介入。
- 追蹤端點活動。今日,員工會使用各式各樣的裝置,包括:桌上型電腦、筆記型電腦、平板、印表機和智慧型手機,這意味著企業必須結合各種不同的持續監控方法才能取得完整的可視性。
- 保障隱私與資料保護。由於需要追蹤的資料非常多,因此掌握優先次序很重要,可將資產的重要性分成「低、中、高」三類,這樣就能有效利用資源。
- 整合。由於 CM 牽涉到各種不同的系統、應用程式、資料來源及工具,因此有可能出現相容性問題。每當企業或其基礎架構發生重大變化時,就會帶來新的挑戰。這就是為何經常諮詢所有利害關係人的意見是如此重要,目的就是要確定監控到底是對他們有利、還是造成干擾。
哪裡可以取得有關持續監控的協助?
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起來協助您預測及防範威脅、並加速實現主動式資安成效的企業網路資安平台。以 AI 技術及尖端研究和最新威脅情報為後盾的 Trend Vision One™ Security Operations (SecOps) 能為客戶提供基礎架構的關鍵洞見,讓您這樣的企業在單一平台上掌控網路資安風險,並且更快攔截敵人。
相關文章
趨勢科技 2025 年資安風險報告
從事件到洞見:揭露一起 B2B 變臉詐騙 (BEC)
了解 Webshell 與 VPN 威脅的初期階段:MXDR 分析
Forrester Wave™:企業偵測及回應平台 (Enterprise Detection and Response Platforms),2024 年第 2 季
是時候升級您的 EDR 解決方案了
沈默的威脅:紅隊演練工具 EDRSilencer 將端點防護解決方案消音
FedRAMP 讓聯邦網路資安策略現代化
2025 年 Gartner® 端點防護平台 (EPP) 神奇象限 (Magic Quadrant™ for Endpoint Protection Platforms [EPP])
Forrester Wave™:端點防護 (Endpoint Security),2023 年第 4 季