隨著企業面臨越來越多新型態攻擊手法的威脅,資訊安全防護亦日漸受到重視,除了防火牆、防毒軟體等早已是IT基礎安全架構的一環,資安政策更嚴謹的企業還會進一步導入統一威脅管理(Unified Threat Management,UTM),或入侵偵測/防禦系統(IDS/IPS)等設備達到進階防禦。
但綜觀資訊安全管理,除了事前的防護之外,事中監看、事後處理也同等重要,因此需要一個統一監看的平台,綜合各種威脅與監控資訊來研判與因應,以降低資安風險,而資安監控維運中心(Security Operations Center,SOC)的概念可說因應而生。
SOC亦可說是資安事故管理中心,一般會由資安人員(People)、管控系統平台(Product)、管控程序(Process),三者加以整合而成。其中的系統平台即為資安事件管理平台(Security Information and Event Management,SEIM),通常會具備事件偵測、事件收集、知識庫、事件分析、回應與通報等基本功能。
企業自行建置與委外監控比較
資安管理服務興起
所謂SIEM平台是依據管控程序需求來設計,經過收集(Collect)網路設備、安全設備、應用系統等等各種不同來源資料格式的日誌檔(Log),儲存後經過格式轉換及正規化處理,再進入到關聯規則分析(Analyze),由系統及時分析事件,同時由專業資安人員加以監控活動事件是否為異常行為,來掌握企業內部或外部的資安威脅。
然而欲建造一套SIEM平台,所需投入的時間、資源及人力成本,即使是大型企業也望之卻步,更何況是一般沒有那麼多預算建置資訊安全管理的中小型企業,自建SIEM如此龐大的管理平台根本不敷成本效益。於是早在幾年前就開始有資安管理服務供應商(Managed Security Service Provider,MSSP),像是中華電信SOC監控中心、宏電子化資訊管理中心(Acer e-Enabling Data Center,Acer eDC)、數聯資安SOC資訊安全監控中心等等服務提供者,各自興建了全套SIEM系統,以及所屬的專業資安團隊,為企業用戶提供委外服務。
駭客攻擊SOC服務加溫
至於SOC監控服務可提供的範圍,宏電子化巨架構服務事業單位產品企劃部資深經理郭孟鈞說明,一開始都是以網路行為為主,但駭客越來越聰明,手法不斷翻新,只看網路封包內容已不足以辨識出是否為惡意行為,自然會日漸演進到應用系統與資料庫層。
中華電信數據通信分公司資訊處科長謝東明即觀察,近年來資安威脅程度日漸加劇,大型企業及政府機關已逐漸有所警覺,並著手部署諸如防毒軟體、垃圾郵件防堵、防火牆、入侵偵測/防護、UTM等資安防禦措施,同時聘雇具有資安背景的人員進行管理及監控。但是企業面對資安防禦設備持續產生的大量安全事件記錄,實在很難快速且精確地判斷當下是否正遭受資安事件威脅,也不確定目前的防禦措施是否足夠,因此,委由資安管理服務供應商以遠端監控方式,提供早期預警、資安設備管理、弱點掃描、入侵偵測、資安政策調校,及資安事件監控與通報等服務的需求愈趨提高。同時,為了因應個資法正式上路,包括個資外洩防護(DLP)、帳號安全及權限管理等資料存取控管,以及資料存取日誌和稽核管理服務,亦成為企業尋求資訊安全委外服務的重要一環。
數聯資安產品行銷部經理蔡政霖也發現,近幾年盛行的APT(Advanced Persistent Threat)導致資料外洩等事件日益嚴重,促使在監控標的物方面亦產生變化,近來時常被詢問的反而是資料庫活動監視(Database Activity Monitoring,DAM)、網頁應用防火牆(Web Application Firewall,WAF)、網路存取控制(Network Access Control,NAC)等服務,因此SIEM平台功能也會因應需求增加項目。此外,現在的企業用戶也不像過去只希望可協助監看各類型資訊安全事件,還進一步希望SOC也能有NOC(Network Operation Center)的服務,亦可說是近年來較大的變化。
維運穩定性是評估重點
中小企業的資金與人才本來就不多,且資安專業人才培養不易,因此將資安工作委由專業的服務供應商進行管理,企業不但可專注於核心事業,節省開銷之餘也能提高資安防護效果,實為事半功倍的方式。
|
▲SOC監控服務架構。 |
對此謝東明提醒,由於資安防護無法做到100%,且不可能一開始就面面俱到,因此必須先自我評估最需保護之標的為何?最主要的需求為何?同時考量自己的預算及所能承擔之風險,逐步擴建企業內部的資安防禦部署。由於資安委外服務是一項長期互相配合的工作,因此選擇資訊安全委外服務供應商時應進行全面性的評估考量。
郭孟鈞亦認為,資訊安全沒有退路可言,既然開始了,就不會有結束的一天。如同ISO27001標準強調的PDCA(Plan-Do-Check-Act)方法論,是一個不斷循環、持續改善的程序,因此資訊安全委外必須建立長期性的關係,而SOC服務團隊是否具一致性、運作是否夠成熟,皆會直接影響企業管控資訊安全的程度,不可不慎。