第五章 營運管理指標
第五節、 事件處理質、量指標
通報發出去以後,將依據分工,由不同專長人員進行事件處理,處理過程,
可分為已經解決或者無法解決。對於已經解決者,又可以設計不同的衡量指標,
包含以下幾個部份:
中繼站數量:截獲新種惡意程式,檢測其對外連線標的,稱為中繼站。
連線標的查獲越多,表示事件處理的品質越好,處理的能力越高。
新種惡意程式數量:查獲的新種惡意程式數量,數量越多,表示處理能 力越好。
解決時效:通報發出去以後,多快的速度完成處理,也是一個適當的衡 量指標,用來表達事件處理質量好壞的依據。
無法解決 – 此問題在一定時間內無法釐清原因或是解決。當無法解決的 數量偏高時,需要了解原因,或實施適當的教育訓練,提升技術人員的 技術能力,降低無法解決的數量。
事件處理質、量
中繼站數量
新種惡意程式數量 已經解決
無法解決
解決時效
圖 44. 事件處理質、量指標
一、 中繼站數量
在破獲惡意程式之同時,SOC 亦會對程式行為加以瞭解,通常亦會對應 破獲與惡意程式背後協作之惡意網站、中繼站。(圖 45)為相對之惡意網站、中 繼站成長趨勢,此一數量亦可作為分析規則、資安通報準確度之佐證。另外值得 注意的中繼站也會因為時、空環境的改變而失效。因此也要有適當的方法來確認、
驗證中繼站的有效度。
中繼站新增
目前中繼站之取得共有三個來源,分別為“由設備連線紀錄取得"與“由惡 意程式、釣魚郵件取得"。
(一) 由設備連線紀錄取得
根據頻寬管理器、入侵偵測系統或防火牆等相關設備取得異常之連線行為,
進而推斷連線的來源 IP 或目的 IP、FQDN 可能為中繼站,此時並沒有足夠的證據 確認該 IP 與 FQDN 是否真的為中繼站,此時會將相關資訊交由相關資安工程師進 行驗證,驗證後若為中繼站則將此 IP 與 FQDN 加入中繼站 IP 與 FQDN 資料庫。
(二) 由惡意程式、釣魚郵件取得
進行事件調查或分析惡意程式時,可取得中繼站 IP 與 FQDN,此類資訊將直 接加入中繼站 IP 與 FQDN 資料庫。
中繼站排除
透過通報數量統計計算週期內中繼站 IP、FQDN 與通報數量的關係表,進而 對中繼站進行排除,中繼站排除分為“中繼站 IP 排除"與“中繼站 FQDN 排除"
兩部分敘述如下。
(一) 中繼站 IP 排除
中繼站 IP 排除前必須進行數據的分析,統計週期內中繼站 IP 通報數量,若通 報數量為 0 則排除,若通報數量不為 0 則由資安工程師進行驗證。通報數量多不 表示真的為中繼站,因此需要由資安工程師對中繼站 IP 進行驗證,若驗證後不為 中繼站 IP 則排除,若為中繼站 IP 則進行中繼站與惡意程式關聯紀錄。根據客戶回 報資料或資安工程師調查之結果進行中繼站與惡意程式關聯紀錄,以作為中繼站 IP 排除之額外加權指數。
(二) 中繼站 FQDN 排除
中繼站 FQDN 排除較為簡單,只要週期內查詢不到 FQDN 即可排除。
中繼站、黑名單 I P 成長趨勢圖
606 612
511 515 520 557 603 610 610 612 626 629
0 100 200 300 400 500 600 700
2009/ 11 2009/ 12 2010/ 1 2010/ 2 2010/ 3 2010/ 4 2010/ 5 2010/ 6 2010/ 7 2010/ 8 2010/ 9 2010/ 10 時間
數 量
圖 45. 中繼站、黑名單IP成長趨勢圖
圖 46. 中繼站管理流程
二、 新種惡意程式數量
目前多數機關、企業面臨重大的資安威脅在於駭客透過社交工程手法,將新 種惡意程式植入用戶之受害電腦,然後控制受害者設備或竊取受害者電腦中的資 料。欲解決此一問題,除了一再對使用者強調開啟郵件與網站瀏覽的警覺性外,
過去實並無積極有效的對策。而經驗顯示,一般使用者資安意識再如何強化仍有 其極限,誤點社交工程郵件或不意瀏覽惡意網站的狀況並無法完全消弭。在市場 上沒有萬能防毒軟體系統的前提下,一旦惡意程式在用戶端內部網路植入肆虐
時,SOC 技術必須能超越防毒系統的限制破解內部網路的新種惡意程式。
116 115 79
(B) (C) (D)
總單量 (T)Total
計算 (平均反應時效)、(事件發生頻率)
09/16-09/22 Total
834 906 1132 4056(E)
E=T-B-C-D 2:26:00 2:13:06 2:30:07 2:31:02
380 429 507 1926
0:05:29 0:14:09 0:07:24 0:09:50
378 393 558 1830
3:05:31 3:34:24 4:27:32 4:26:13
76 84 67 300
9:04:27 7:30:37 5:21:19 8:38:26 7:42:01 501
2nd 處理時效Avg 3rd 處理量(E3)
3rd 處理時效Avg 1st 處理量(E1)
1st 處理時效Avg
610 0:11:31 事故單 持續時間 Avg
有效計算單量 E=T-B-C-D
Site:LT+NH by Weekly 09/02~09/29
09/16-09/22 Total
834 906 1132 4056(E)
E=T-B-C-D 2:26:00 2:13:06 2:30:07 2:31:02
380 429 507 1926
0:05:29 0:14:09 0:07:24 0:09:50
378 393 558 1830
3:05:31 3:34:24 4:27:32 4:26:13
76 84 67 300
9:04:27 7:30:37 5:21:19 8:38:26 7:42:01 501
2nd 處理時效Avg 3rd 處理量(E3)
3rd 處理時效Avg 1st 處理量(E1)
1st 處理時效Avg
610 0:11:31 事故單 持續時間 Avg
有效計算單量 E=T-B-C-D
Site:LT+NH by Weekly 09/02~09/29
通報
圖 48. 事件處理時效分析表
第六節、 平台管理指標
平台管理,是指 SOC 平台本身的營運狀態好壞的指標,包含:
平台可用度指標 (Availability) – 系統中斷時間(downtime)的長短,用來衡 量平台停止運作的時間長短。
平台容量管理指標 (Capacity) – 包含資料庫容量與系統資源(CPU, Memory, Disk)等的耗用情況,用來衡量平台的容量是否充足。
一、 可用度(
Availability)
可用度指標的計算方法為:
其中 downtime 表示量測周期(如一周、一個月等)內系統停頓的時間,time 表是量測的周期,(表 17 )是某一周的可用度統計,顯示可用度為 100%。
表17 系統可用度
(圖 49)是每一個月系統可用度的統計表範例。
圖 49. 系統可用度統計表
二、 容量管理指標(
Capacity)
容量管理包含幾個系統資源使用度的指標(圖 50):
頻寬 -各種原始事件源源不絕送到 SOC 平台,需計算耗用的頻寬,並觀 察是否有異常流量發生。
儲存裝置 (Storage) – 儲存空間是否足夠的指標。
CPU
Memory
資料庫表格空間 ( Tables) –各種原始事件均存放在資料庫中,資料庫中各 種資料表格,是否空間足夠,需要隨時測量與管理。
圖 50. 系統可用性統計