Protego Mitigation and Response System

找出真正的威脅，立即做出回應

當建置完成各種安全設備後，管理人員除了學習各種不同的管理介面，還要面對堆積如山的各種日誌檔，在人力與時間限制下，往往只能把這些有用的資訊予以忽略。為了避免企業發生資訊負載過重的問題，許多廠商推出資安訊息管理系統（Security Information Management，SIM），Protego的Mitigation and Response System（MARS，資訊安全威脅輕緩及回應系統）也是其中之一。建置容易，支援多種資料來源

MARS能夠收集各種網路裝置（防火牆、IDS、路由器、交換器等）所產生的日誌檔，然後利用採用獨特的Sessionization及Session Based Active Correlation（主動式對話關連分析）技術進行資料交叉比對，驗證是否有可疑活動或攻擊，並且降低誤判與處理不必要的資料。

由於產品是硬體裝置，安裝和建置都非常簡易，整個導入時間約3~4個星期，不像軟體系統需要經過複雜的安裝與設定。系統的準確率與提供資料的裝置有關，如果一開始所提供的資料是錯誤的，那之後的分析結果當然也會是錯的，所以在剛開始建置時，需要重新設定安全裝置，以提供正確的資訊。

目前MARS支援Cisco、Juniper、Check Point、ISS及Foundstone等廠商的產品，並陸續增加新的支援，預計今年第四季將支援防毒產品，要注意的是，系統可直接收集上述設備的日誌檔，但在收集Unix或Windows的系統日誌時，可能需要安裝代理程式。某些SIM產品只能收集單一品牌的安全設備，由於Protego沒有產品的包袱，所以後續的支援能力也會比較好。多種獨特的技術，降低誤判與風險

除了準確率，效能也是SIM系統的一大考驗。一般來說，當發生一個事件（例如Port Scan）時，可能只是攻擊的徵兆，不一定會演變成攻擊，所以Protego的分析引擎將系統分析的單元由「Event（正常事件）」縮減到「Session」，再濃縮到「Incident（違反資安政策的資安事故）」，只對真正的安全事件進行分析，舉例來說，某臺主機被Port Scan，然後又被發動Buffer Overflow攻擊，當這臺主機被攻破，並對另一臺主機進行密碼破解時，系統確認這些行為符合規則，並將它判定為攻擊。系統內建精靈化介面，可協助管理者客制化規則，不過，由於每間公司的環境都不儘相同，因此，精業有提供客製化規則服務。目前系統內建12275筆Event及9條規則樣本。

如果系統認定為攻擊事件，就會啟動威脅緩輕機制，建議該關閉的交換器埠，並由監控人員確認後執行。雖然Protego可以直接用SMTP命令設備（防火牆、IDP、交換器）中斷不正當連線，但仍有風險存在（造成整個網路癱瘓），因此廠商建議直接透過交換器下指令，會是比較安全的方式。

當遭遇蠕蟲爆發或駭客大規模攻擊時，單鍵（one-click）是一個蠻不錯的功能，只要用滑鼠按下該功能，系統就會自動將事件認定為攻擊，以減少誤判發生。如果系統發生誤判時，只要經過管理者調校後，系統就會自動產生新的規則，過濾誤判事件。

鑑識分析（Forensic Analysis）是另一個不錯的功能，在攻擊、入侵事件後，MARS可以重播過去的入侵活動，供管理者研究該攻擊的行為模式，之後更可結合Protego的歷史資料探採（Historical Data Mining）功能，開發新的偵測規則來辨識這類攻擊。

此外，為了預防「Zero Day」攻擊，系統會長期監控網路流量，進行流量關連比對，以偵測出攻擊時的異常流量。監控的範圍有Cisco路由器/交換器的NetFlow資料、來源/目的埠、過多的拒絕進出（Deny）及特定埠等。直覺化管理介面，各種網路拓璞圖型

系統採用直覺化的瀏覽器管理介面，除了提供各種超連結，我們也可以在首頁看到各種攻擊分析圖表，相當的方便易懂。舉例來說，當發現改攻擊事件時，MARS可即時依據網路架構，追蹤到防火牆NAT後的真實主機，並以圖形顯示其位置，讓管理者清楚看到整個網路架構圖，不需憑空想像。

MARS採用行為基準的報表系統（Behavior Based Reporting），我們可以從圖表得知攻擊從哪裡來、穿過哪些設備、目標是否存有弱點（動態網路弱點評估）、攻擊趨勢分析、誤判報告……等資料。系統內建50種圖型報表，管理者可客制化的專屬的報表。

最近有不少企業和機關開始建置SOC，相信Protego MARS能夠減低管理人員的工作負擔，更準確的判斷出攻擊事件。文⊙陳世煌