在AI浪潮下傳統SOC的侷限性
在AI浪潮下,早期傳統SOC(Security Operation Center,資訊安全監控中心)依賴SIEM系統(Security Information and Event Management,安全資訊與事件管理)進行事件和警報的即時監控、日誌和事件的分析等,進行告警與報表生成等工作,以協助SOC識別和解析潛在的安全事件。然而,當面對公有雲服務商, 如Azure、GCP、AWS等,快速變化的系統功能以及開放原始碼軟體的多樣性,傳統的SOC聚焦在日誌監控和解析方式,想要防禦多元變化的網路攻擊,必須重新調整監控設定與方式。為了不斷追趕這些變化,機動修改日誌監控的即時性及完整性,對SOC的監控營運將是一大挑戰,因為一旦資安事件的監控與威脅無法即時處理,對企業將帶來極大的營運風險。
更具體地說,許多公有雲業者常自行佈建SaaS SIEM,採用自行開發的系統平台,大量使用開源軟體,並能夠靈活調整服務內容。因此,對於傳統地端SOC服務廠商而言,他們需要不斷提升對雲端環境的了解和管理能力,以跟上技術層面的變化。
何謂Cloud SOC(雲端資訊安全監控) ?
Cloud SOC指的是使用雲服務原生平台發展的Cloud Native SIEM產品,將完整的SOC監控機制建立在雲端上。這種解決方案能保障企業在雲端的資料安全。近年來,一些SIEM產品開始從雲服務原生平台發展,雲端原生 SIEM,將提供企業方便使用且安全的解決方案。
以微軟的Azure Sentinel SIEM為例,它能夠對各種Azure原生軟體服務和第三方資訊安全防護方案保持日誌整合的相容性,確保日誌解析和分析的完整性與一致性。這是傳統SOC與其他服務商目前無法完全達到的。
雲地混合監控機制將成主流新趨勢
隨著企業上雲比率的增加以及SOC資訊安全監控中心平台的普及化,雲地混合監控的趨勢將成為主流。近年來,最引人注目的發展趨勢之一,就是雲地混合的關聯分析監控。宏碁雲架構(Acer eDC)自2021年開始著手發展Cloud SOC,將微軟Sentinel Native SIEM和微軟Defender XDR作為雙平台核心,跨足雲端,同時建立混合型雲地監控中心互相回饋的循環機制。
宏碁雲架構對雲端原生SIEM平台的使用持有樂觀態度,因為無論雲端環境後端如何變動,原生架構自然就能相容並支持,對SOC維運的衝擊較小。即使處於多雲環境,我們也看好微軟在整合能力方面的優勢,相對於其他供應商更為完整。
Cloud SOC 邁入自動化主動式防禦機制
近20年來從SOC在各階段型態發展轉變過程,看出早期的SOC使用的平台主要依賴防毒軟體、網路防火牆、入侵偵測/防禦系統(IDS/IPS),以及網站應用防火牆(WAF)等產品與服務,屬於被動式的監控能力,主要集中在日誌收集和稽核,處理病毒警報、偵測入侵與回應事件。
因應網路威脅攻擊防護技術不斷提升,伴隨雲端大數據處理技術的成熟,(許多新興的解決方案崛起。例如網路威脅情資、端點偵測與應變系統(EDR/MDR),甚至於延伸式威脅偵測與應變系統(XDR),以及安全協作自動化與回應系統(SOAR)等。這些解決方案強化了與SOC平台或服務進行協作與整合,因此,促使Cloud SOC朝向自動化主動式的監控與防護。
人工智慧(AI)助手將是Cloud SOC技術發展的下一步
確實,AI助手運用自然語言處理(NLP)技術在資訊安全領域的應用也快速成長,尤其對於Cloud SOC的技術發展具有潛在的影響力。以下是支援自然語言的AI 助手可能對Cloud SOC帶來幾個影響:
- 智慧監控與警報管理:AI 助手可以幫助自動分析大量的監控數據和事件警報,並進行即時的威脅檢測和識別。這樣可以大幅減輕SOC人員的工作負擔,快速發現潛在的安全威脅。
- 自動化事件響應:AI 助手可以根據事先設定的策略和指引,自動執行應對措施,例如封鎖受威脅的設備或系統,減少對SOC人員的依賴性,提高應對速度和效率。 智慧安全分析與報告:AI 助手可以通過自然語言處理技術,將複雜的安全事件和趨勢轉化為易於理解的報告和可視化圖表,幫助管理層和決策者快速地理解安全風險和挑戰。
- 全面的安全問題解決方案:AI 助手可以整合多個安全解決方案,包括威脅情報收集、風險評估、事件監控、漏洞管理等,形成一個全面的安全問題解決方案,提供更強韌的安全防護和威脅應對能力。
總的來說,自然語言處技術不斷改變,新技術的開發使AI 助手功能更加完善,此一創新技術將使Cloud SOC更加智能化、自動化,提高資訊安全監控與威脅應對的效率和效能,是未來Cloud SOC技術發展的重要方向之一。