Security Information and Event Management Advanced Persistent Threat Security Operations Center Unified Threat Management 資安管理服務供應商 HINET SOC 資安事件管理平台 Acer eDC 統一威脅管理 入侵偵測 入侵防禦 SEIM MSSP 中華電信 數聯資安 資安監控 SOC UTM IDS IPS APT 個資法 委外

SOC監控範圍功能 隨市場需求擴大

2012-10-01
隨著企業面臨越來越多新型態攻擊手法的威脅,資訊安全防護亦日漸受到重視,除了防火牆、防毒軟體等早已是IT基礎安全架構的一環,資安政策更嚴謹的企業還會進一步導入統一威脅管理(Unified Threat Management,UTM),或入侵偵測/防禦系統(IDS/IPS)等設備達到進階防禦。
但綜觀資訊安全管理,除了事前的防護之外,事中監看、事後處理也同等重要,因此需要一個統一監看的平台,綜合各種威脅與監控資訊來研判與因應,以降低資安風險,而資安監控維運中心(Security Operations Center,SOC)的概念可說因應而生。

SOC亦可說是資安事故管理中心,一般會由資安人員(People)、管控系統平台(Product)、管控程序(Process),三者加以整合而成。其中的系統平台即為資安事件管理平台(Security Information and Event Management,SEIM),通常會具備事件偵測、事件收集、知識庫、事件分析、回應與通報等基本功能。

企業自行建置與委外監控比較

資安管理服務興起

所謂SIEM平台是依據管控程序需求來設計,經過收集(Collect)網路設備、安全設備、應用系統等等各種不同來源資料格式的日誌檔(Log),儲存後經過格式轉換及正規化處理,再進入到關聯規則分析(Analyze),由系統及時分析事件,同時由專業資安人員加以監控活動事件是否為異常行為,來掌握企業內部或外部的資安威脅。

然而欲建造一套SIEM平台,所需投入的時間、資源及人力成本,即使是大型企業也望之卻步,更何況是一般沒有那麼多預算建置資訊安全管理的中小型企業,自建SIEM如此龐大的管理平台根本不敷成本效益。於是早在幾年前就開始有資安管理服務供應商(Managed Security Service Provider,MSSP),像是中華電信SOC監控中心、宏電子化資訊管理中心(Acer e-Enabling Data Center,Acer eDC)、數聯資安SOC資訊安全監控中心等等服務提供者,各自興建了全套SIEM系統,以及所屬的專業資安團隊,為企業用戶提供委外服務。

駭客攻擊SOC服務加溫

至於SOC監控服務可提供的範圍,宏電子化巨架構服務事業單位產品企劃部資深經理郭孟鈞說明,一開始都是以網路行為為主,但駭客越來越聰明,手法不斷翻新,只看網路封包內容已不足以辨識出是否為惡意行為,自然會日漸演進到應用系統與資料庫層。

中華電信數據通信分公司資訊處科長謝東明即觀察,近年來資安威脅程度日漸加劇,大型企業及政府機關已逐漸有所警覺,並著手部署諸如防毒軟體、垃圾郵件防堵、防火牆、入侵偵測/防護、UTM等資安防禦措施,同時聘雇具有資安背景的人員進行管理及監控。但是企業面對資安防禦設備持續產生的大量安全事件記錄,實在很難快速且精確地判斷當下是否正遭受資安事件威脅,也不確定目前的防禦措施是否足夠,因此,委由資安管理服務供應商以遠端監控方式,提供早期預警、資安設備管理、弱點掃描、入侵偵測、資安政策調校,及資安事件監控與通報等服務的需求愈趨提高。同時,為了因應個資法正式上路,包括個資外洩防護(DLP)、帳號安全及權限管理等資料存取控管,以及資料存取日誌和稽核管理服務,亦成為企業尋求資訊安全委外服務的重要一環。

數聯資安產品行銷部經理蔡政霖也發現,近幾年盛行的APT(Advanced Persistent Threat)導致資料外洩等事件日益嚴重,促使在監控標的物方面亦產生變化,近來時常被詢問的反而是資料庫活動監視(Database Activity Monitoring,DAM)、網頁應用防火牆(Web Application Firewall,WAF)、網路存取控制(Network Access Control,NAC)等服務,因此SIEM平台功能也會因應需求增加項目。此外,現在的企業用戶也不像過去只希望可協助監看各類型資訊安全事件,還進一步希望SOC也能有NOC(Network Operation Center)的服務,亦可說是近年來較大的變化。

維運穩定性是評估重點

中小企業的資金與人才本來就不多,且資安專業人才培養不易,因此將資安工作委由專業的服務供應商進行管理,企業不但可專注於核心事業,節省開銷之餘也能提高資安防護效果,實為事半功倍的方式。


▲SOC監控服務架構。

對此謝東明提醒,由於資安防護無法做到100%,且不可能一開始就面面俱到,因此必須先自我評估最需保護之標的為何?最主要的需求為何?同時考量自己的預算及所能承擔之風險,逐步擴建企業內部的資安防禦部署。由於資安委外服務是一項長期互相配合的工作,因此選擇資訊安全委外服務供應商時應進行全面性的評估考量。

郭孟鈞亦認為,資訊安全沒有退路可言,既然開始了,就不會有結束的一天。如同ISO27001標準強調的PDCA(Plan-Do-Check-Act)方法論,是一個不斷循環、持續改善的程序,因此資訊安全委外必須建立長期性的關係,而SOC服務團隊是否具一致性、運作是否夠成熟,皆會直接影響企業管控資訊安全的程度,不可不慎。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!