逆轉黑客攻擊：新方案讓你從「獵物」變「獵人」？

如果大家從事了資安一段時間的話，或者總會於心中出現了很多奇怪想法，例如筆者便曾想過是否可開發一套系統能將攻擊行為反彈，從而將自己由獵物變成獵人；不過想了一會，便會知道這種「反彈」會令自己成為攻擊者，可能犯法，於是便放棄這種想法。

不過近日我們收到一份由 RSA 發來的新聞稿，而此新聞稿的題目喚起了筆者多年前的想法，難道她們真的推出這種懂得「反彈」的保安方案？先看看這是甚麼方案，原來是由 RSA 推出 Advanced Security Operations Center（SOC）Solution，此方案本身能協助企業在數據洩漏有可能發生之前找出潛在威脅。

當 IT 創新如雲端技術、社交媒體、海量數據以及流動網絡運算等協助企業邁步向前，網絡攻擊者亦隨之獲得更多繞過傳統和現代資訊保安工具的機會。而 RSA Advanced Security Operation Center Solution 本身結合資訊保安及事故管理（SIEM）擷取整個封包進行網絡取證及終端威脅偵測的能力，從而協助資訊保安團隊快速發現獨立並基於日誌的 SIEM 及基於周邊防禦的傳統保安工具 ─ 如防毒軟件、防火牆及入侵防範系統等 ─ 所忽略的攻擊。

RSA Advanced SOC Solution 結合了 RSA Security Analytics、RSA ECAT、RSA Archer Security Operations Management 的技術，以及 RSA Advanced Cyber Defense Practice 的培訓和服務，以一個平台同時應付法規和保安要求，助資訊保安團隊在攻擊對業務構成影響之前能更有效的偵測和作出回應。

可視性和深入調查

方案專門收集詳細的網絡、系統及終端數據，提供及時的事故偵測和直接資訊保安分析，實時地把可疑的異常情況引導至深入的事故取證，並了解問題真正的本質和影響範圍。超過 400 個網絡及日誌分析器於每個日誌和網絡會話進行擷取時間分析，以辨識關鍵威脅並提取元數據及針對最重要的問題進行資訊保安分析。透過編排調查和分析工作流程的優先次序，以把資源最大化，令資訊保安團隊更快速偵測及回應最高風險的威脅。

RSA Advanced SOC Solution 亦藉由收集及分析 250 多個活動來源、利用 275 種關聯規則，以及 100 多種報告樣式以符合現時規定，加上其原生事故回應能力以及整合數據源通知，可更快速及精細的進行事故調查。

實時終端威脅偵測

RSA ECAT 助保安團隊找出傳統防毒科技未能發現的惡意軟件及其他威脅。方案可快速調查及分析可疑的終端活動，從而確定所發現的惡意軟件於企業內的擴散範圍。偵測過程為全自動和實時，無須依賴特徵。

其實方案明顯並非文初筆者提到的「反彈」式防禦方案，其實只可以說是一種強化版的 SIEM，而官方以「獵物」變成「獵人」為題，其主要的中心思想是指因通過 SIEM 的可視化以及結合大數據的趨勢分析，因而能協助企業及早洞悉問題、及早進行修復，最終令企業由「獵物」變成「獵人」，僅此而已。