Google資安維運經驗大公開，克服5大常見挑戰，從人、流程、技術等層面思考

為了確保資安，熟練且專業的人力不足，已成為企業營運的重大議題，然而，隨著資安威脅日趨複雜，企業也必須化被動而主動，才能提升防禦與應變能力，因此該如何做到更理想的自動化與整合，是當務之急。

在7月中舉行的2023臺灣雲端大會，恰巧探討現代資安維運挑戰，這也是SecOps領域的重點。活動中，Google Cloud客戶解決方案架構師鄭家明提出自動化資安維運實踐與建議，並揭露他們的應對方式。

威脅加劇，安全維運模式需有現代化思維

對於資安維運的發展，鄭家明提及2個值得關注的威脅現況。根據Google旗下資安業者Mandiant最新報告數據指出，駭客從入侵開始到發動攻擊，時間是越來越短，在2011年，平均是416天，而到了2021年、2022年，已縮短至21天、16天。

為何他們現在能在這麼短的時間發動攻擊？可能是近期攻擊者越來越懂得利用自動化程式幫助他們從事犯罪活動，使得攻擊速度變快，因此，對於資安監控人員及團隊而言，這是相當大的挑戰。

而從監控端的狀況來看，又面臨另一個層面的挑戰，那就是自我察覺威脅的能力普遍不足。從Mandiant另一項調查數據顯示，在2022年有63%資安事件，是由外部人員通報，像是經由道德駭客或是用戶通報，也就是說，只有不到4成是內部資安人員發現。

面對資安事件的偵測與調查，鄭家明指出，現在不論ISO 27001、PCI DSS等標準與規範，都已經將活動監控納入控制項目要求，這意味著，組織內部必須要有SOC機制運作；而威脅情資也被納入控制要求，因為這樣才能更準確了解威脅，並採取有效行動。

對於現代化安全維運應該要有的模式，鄭家明具體描繪了樣貌。

基本上，如同很多企業導入SIEM，需要有基本的日誌／事件統一收容能力，並要促使分散各地的稽核日誌、網路、端點、資安設備的警示，能夠做到集中管理。

接著，在持續監控的狀態下，會面臨接收與處理大量警告的情形，因此，企業與組織的資安人員與團隊對於流程與事件的管理，不僅要制定監控規則，同時，也需要結合機器學習，建立自動化回應的機制，像是導入SOAR解決方案。

同時，這樣的自動管理過程容易有誤判情形發生，所以需透過威脅情資的結合，監控異常存取行為或網路連線，讓監控規則可以達到更有效的管理。

後續，在事件調查及回應與復原上，也要能夠快速反應，減少影響範圍及時間。

更重要的是，整個維運模式也要跟著資通訊環境的狀態而演進。這是因為，對於資安團隊而言，企業與組織的環境一直都在變化，像是新的應用程式部署作法，新技術與新框架的採用，以及新漏洞、新攻擊手法的出現，因此，整個維運的循環需持續迭代演進。

整體來看，SIEM、SOAR、威脅情資是三大關鍵，自動化科技的採用，也是隱含的一大要素。

對於現代化安全維運模式該有的樣貌，Google用一張圖來簡單說明其資安維運（Security Operations）的運作方式。（圖片來源／Google）

Google Cloud客戶解決方案架構師鄭家明指出，Google監控的資料7年內已成長30倍，所需人力僅只需擴充3倍，背後的關鍵在於，高效率的自動化科技，以及持續的流程優化。這樣的統計數據與成效揭露相當難得，讓外界更了解到Google在資安監控進程上，自動化科技的助益。（攝影／羅正漢）

想克服當前資安維運挑戰，可從3大面向、11項重點出發

儘管上述資安維運概念勢在必行，但實際推動上，仍面臨諸多挑戰，Google Cloud認為關鍵的問題，包含下列這些：警報疲勞與誤報、多種工具整合、可視性，以及人工處理流程、人才短缺。

鄭家明表示，前三大都可藉由技術去解決，但其餘兩個問題則與人力有關，不易克服。雖然大家看重AI的發展，但現在AI仍扮演輔助角色居多，無法完整取代人力。

不只是一般企業與組織會遭遇到上述挑戰，Google其實也面臨這些問題，甚至需要防護的對象與範圍更廣泛。例如，他們擁有眾多雲端服務，每天收集與分析的資安日誌超過300億筆，以Gmail為例，每天阻擋超過1億次釣魚郵件攻擊，而在Google帳號的防護上，他們每天也會對10億個儲存的密碼進行密碼外洩安全檢查。

但這些都是長期發展與改良的結果，難得的是，鄭家明也帶著大家回顧Google資安監控的發展進程。在2015年到2017年，Google的資安監控大多透過人力方式分析，找出攻擊事件的關聯，不過，在這之後，自動化逐漸開始扮演重要角色。

例如，2022年已有超過8成比例是透過自動化方式分析，不到2成是用人力分析。而在此同時，Google監控資料卻已經成長達30倍的規模，投入這些工作的人力卻僅成長3倍。

鄭家明指出，透過自動化的方式，將有限的人力投入需要專注的重要事情，是相當必要的。

該如何克服現代化安全維運的挑戰？鄭家明建議，可從人、流程、技術這三大面向來思考。

人力面

這部分有兩大重點，首先是人才培育不可或缺，同時，也要聚焦，將有限人力用於關鍵活動。

他提到，目標式的訓練很重要，有些公司每年可能都有教育訓練，但若訓練結果未反映在工作當中，會是不足之處。

以Google為例，內部的教育訓練區分為4個等級，培訓內容會以人員的任務為目標，像是在初階課程，他們會針對Log、網路安全、應用程式方面的能力，進行培養與訓練。

公司方面，也要給予人員的輪調與訓練計畫。他並認為，對Google資安維運人員而言，本身必須要有工程師的思維，需有足夠能力去建構監控規則，否則，只是每天處理Alert、分析Log，工作會變得乏味，也無益於整個資安監控的提升。

流程面

在流程方面，重點可以放在工作流程的改善，包括：情資、獵捕、自動化、腳本（Playbook）、驗證有效性。

簡單來說，自動化無疑是最大關鍵，鄭家明特別強調腳本的重要性，一旦遇到資安事件，需妥善訂定各個角色該做的事情，定期進行演練也是不可或缺的流程管理，當然，有效性的驗證是相當必要的工作。

以Google而言，為了促進採用自動化資安維運（ASO），他們在這個層面最重視的，是導入「持續偵測」與「持續回應」的工作流程，並將焦點放在4項工作，包括：增加資料可視性，資安分析結合威脅情資、自動化回應即事件管理，以及做到持續優化。

技術面

關鍵是監控工具的強化，有4個重點，包括：考量整合多重環境、雲原生SaaS、資料可視性，以及AI。

鄭家明強調，在人力有限的情形下，組織需將資源放在監控，而不是基礎設施的維運。這項考量不僅突顯監控工具往雲端發展的態勢，環境整合亦是大勢所趨，不論是雲端、地端與終端，以及不同廠商產品等，都必須進行彙整。

同時，他建議，短期策略可聚焦於SIEM、EDR、NDR，並測試與實驗使用SOAR，長期則是採用SaaS雲端工具，部署SOAR腳本，以及實施UEBA。

對於Google而言，在技術層面，他們已建立Google Cloud安全維運的SecOps整合架構，並將這些工具打造成產品，讓客戶使用。

例如，在日誌管理與監控上，他們提供Chronicle SIEM，可以統一收容各方資訊，不論是Google Cloud雲端資安防護服務，或是透過Security Command Center（SCC）偵測到的威脅，以及地端、其他公有雲，以及不同廠商EDR的日誌、警告與變動；在自動化回應與整合上，他們提供Chronicle SOAR；而在威脅情資的整合，除了基於GCP本身的威脅情資，也能涵蓋Google旗下Virustotal與Mandiant的情資。

要克服現代化安全維運的挑戰，鄭家明建議可從人、流程、技術這三大面向來著手，而Google本身也是這麼做，在這三大面向均有施力。（攝影／羅正漢）

為了達到自動化資安維運（Autonomic Security Operations，ASO），這將要求在持續檢測與回應 (CD/CR) 的整個工作流程中，做出基於威脅情報的決策。因此，Google在流程面的對策，就是聚焦於持續偵測與持續回應，當中並有4大重點，包括：增加資料可視性，資安分析結合威脅情資、自動化回應即事件管理，以及做到持續優化。（攝影／羅正漢）

要解決可視性、多種工具整合、大量事件警告的挑戰，需讓日誌統一收容，讓雲端、地端、終端及不同廠商產品可以整合，用威脅情資幫助決策，在技術面，Google也建立起Google Cloud安全維運的SecOps整合架構，在這樣的雲端 SOC之下，當中涵蓋可統一收容日誌的Chronicle SIEM，可自動化回應與整合的Chronicle SOAR，以及威脅情資面有來自GCP本身及自家旗下Virustotal與Mandiant的情資。（攝影／羅正漢）

資安維運進入AI協力新世代

整合生成式AI是當前資安維運作法的重大突破，兩大雲端服務業者紛紛發表解決方案，例如，微軟3月發布Security Copilot，相隔一個月後，Google也提出Sec-PaLM。

這類應用可為企業與組織資安維運帶來何種效益？鄭家明指出，目前Sec-PaLM可用於總結、分類、產出等三個層面。

在總結能力上，其訓練是以事件敘述加上專業術語，因此AI可清楚說明惡意腳本的行為，並且總結威脅情資的資訊，以及可實施的控制流程；在分類能力上，其訓練內容是惡意軟體及漏動程式碼，可辨識惡意軟體、識別程式碼的漏洞等；在產出能力上，其訓練將根據監控規則的特殊語法，以及事件日誌的資料結構，藉此產生YARA-L監控規則，以及產生SOAR腳本等。

另外，關於Google如何將Sec-PaLM整合在資安維運解決方案中，鄭家明也有簡單說明，包含用於自動化威脅分析、減少人工作業與協助資安監控的面向。

對於資安監控維運中心（SOC）的強化，Google Cloud客戶解決方案架構師鄭家明從人、流程與技術的角度，分享如何在短、中、長期強化企業安全運維及管理。（攝影／羅正漢）

對於SOC監控能力成熟度的展現，Google定義了4階段來說明，從最早的各自為政，進入到整合階段、自動化階段，最終朝向主動監控。（攝影／羅正漢）