在全球數位競爭環境中,資安早已不再是可有可無的保險措施,而是關乎企業永續發展的關鍵基礎。中華資安國際的SOC服務整合了自動化協調與事件回應機制(SOAR),結合多樣化設備的客製化腳本(Playbook)實現自動化回應,可大幅提升通報事件檢查與確認的執行效率。
同時,為增強SOC服務的可視性與精準度,進一步將雲端安全、網路監控及託管式端點威脅偵測與應變服務(MDR)整合進SOC體系,為不同規模的企業IT應用場景提供完整資安服務。
近幾年企業資安防禦策略正伴隨著企業數位化轉型而轉變。中華資安國際SOC服務部協理邱永興指出,過去思維是引進技術領先的資安設備,在邊界部署多層式防禦,便能抵禦外部威脅長驅直入。隨著數位化應用場景的改變,以及攻擊手法不斷推陳出新,再加上生成式AI技術的快速發展,使得攻擊者能更迅速產出精準的釣魚郵件與深度偽造(Deepfake)技術製成假圖片,甚至透過仿冒語音、影片,進行更具欺騙性的社交工程攻擊。
如今SOC所扮演的關鍵角色不僅在於威脅監控,更在於整合各種資安防護工具、持續進行威脅獵捕(Threat Hunting)、快速回應高風險事件,並透過日積月累的實戰經驗優化防禦策略。SOC可說是現代企業資安防禦的中樞,核心價值在於擁有專精技術能力的團隊,協助企業應用場景制定即時聯防,在攻擊發生的第一時間迅速偵測並及時因應,減少事件所帶來的財務與商譽損失。
風險控管平台持續進化
中華資安國際的SOC服務在技術選擇與架構設計上,經歷了多次變革與提升,以因應日益增長的資料量與威脅複雜度。邱永興說明,中華資安國際最早採用的是ArcSight作為SIEM(資安事件管理)平台。隨著客戶端資料量逐年增長,既有的SIEM平台在處理大量資料時不再如以往穩定與高效。因此,中華資安國際引進了基於ELK Stack(ElasticSearch、Logstash、Kibana)的商業版本,整合建構為新一代的SIEM平台。
ELK Stack的核心技術是Elastic資料架構,具有高速搜尋的特點,為中華資安國際SOC服務團隊提供了靈活的情資回溯分析功能。在處理資安事件時,SOC團隊可將客戶事件所產生的日誌集中儲存於ELK中,並進一步比對其他客戶是否存在相似事件。這不僅有助於跨客戶間的情資共享,還能對過去三個月內的資料進行深度分析,以發現潛在的威脅模式或異常趨勢。
「這樣的回溯分析,本質上即是一種威脅獵捕技術。SOC團隊透過情資的整合,對潛在威脅進行主動搜尋與確認,進一步提升了整體資安服務的深度與效能。」邱永興說。除了技術升級,SOC服務的設計亦不再依賴單一工具功能。透過ELK的資料處理能力與其他工具的整合應用,中華資安國際得以建立更具彈性的資安架構,確保面對各種威脅時能靈活應對。
BAS服務降低檢驗門檻
除了基於SIEM平台提供SOC服務,中華資安國際的檢測部門亦有提供入侵及攻擊模擬演練(Breach and Attack Simulation,BAS)驗證服務。主要由紅隊團隊負責操作與執行。
邱永興進一步指出,在BAS工具尚未問世之前,模擬演練主要依靠人工操作,透過專業人力為客戶量身訂做演練計畫。例如,服務團隊可能使用社交工程手法,如寄送釣魚郵件或夾帶惡意程式,以測試企業的緊急應變能力。這類方法雖然精細且客製化,但成本相對較高,且需投入大量人力與時間。
中華資安國際SOC服務部協理邱永興強調,中華資安國際秉持「先做公益,再談利益」的理念,致力於協助中小企業提升資安防禦能力,如免費提供外部曝險管理與開發適用於中小企業的聯防工具,提高產業資安韌性。
BAS工具的出現使模擬演練更加自動化。該工具內建多種攻擊腳本,能快速部署至客戶環境,並模擬各類型攻擊模式,如弱點掃描或系統滲透測試。這些腳本在運行時會針對企業系統進行全面性測試,並記錄成功與失敗的攻擊結果。工具化的BAS可降低客製化需求與執行成本,讓企業更容易持續進行安全性檢測。
相較於BAS工具,紅隊演練是一項更專業且深入的服務,主要依賴人力進行針對性的資安測試。紅隊演練涵蓋的範圍更廣,不僅限於弱點掃描與滲透測試,還包括社交工程演練與多層次的攻擊模擬。
紅隊演練的價值在於其細膩程度。例如,在滲透測試中,紅隊可能嘗試利用網站漏洞、弱密碼或權限提升進行深入攻擊。這類攻擊方式通常無法透過一般弱點掃描工具偵測到,例如帳號跨越攻擊或管理權限竊取等複雜攻擊場景。
BAS工具與紅隊演練各有其獨特的價值與適用場景。對於希望以低成本快速進行安全檢測的企業而言,BAS較為合適。而紅隊演練則適合需要深入挖掘系統漏洞與檢驗防禦效能的企業或組織。兩種服務中華資安國際都已具備。
自主開發SRM平台實作聯防
中華資安國際在資安技術的選擇與應用上,秉持著靈活多元的原則,逐步強化其SOC服務的整合能力,例如法規要求須具備的端點偵測與回應(EDR)工具。中華資安國際提供的MDR服務專注於代管EDR工具,讓專家團隊為客戶提供即時威脅偵測與回應能力。 「目前的MDR服務,主要是基於CrowdStrike技術平台來提供。現階段,中華資安國際的SOC服務團隊正在積極整合自主研發SecuTex Endpoint Detection與SecuTex Network Protection以蒐集更多實際運行的資訊,並評估其整合至SOC服務的可行性。」邱永興說。儘管CrowdStrike曾因系統更新失誤而引發「719大當機」事件,造成部分企業營運中斷,但其威脅偵測與架構平台,確實適合MSSP資安託管服務商,可廣泛支援FireEye、SentinelOne、Microsoft Defender for Endpoint(MDE)等多款常見的EDR工具。
值得一提的是中華資安國際SOC團隊自主開發的SRM(Security Risk Management)平台,可為中小型企業提供具成本效益的聯防解決方案。SRM平台的設計專注於簡化資安管理流程,包括事件簽核、追蹤、處理與結案,所有操作皆可在SOC資安監控中心的儀表板上完成。
邱永興強調,SRM平台雖不如商業化SOAR功能全面,但其專注於實用性,特別適合無法配置專職資安人力的中小企業。例如,當外部威脅偵測到異常行為時,SRM可迅速觸發事件工單,並透過整合的防火牆工具即時阻擋攻擊來源。
此外,中華資安國際的SOC服務還提供外部曝險管理,幫助客戶檢視外網IP與Domain的資安風險。透過第三方工具(如Shodan)平台,客戶可透過SOC資安監控中心儀表板即時檢視系統的CVE(已知漏洞)資訊與外部曝險與威脅態勢,提升整體資安水準。