中華電信是以國外大廠的SIEM平台為基礎,依據國內企業環境的不同再進行研發,但中華電信數據通信分公司資訊處科長謝東明強調,SOC的重點並非在於採用了哪一種平台技術,關聯性分析才是真正核心技術。可收集的Log那麼多,是否能從中獲取有用的資訊才是關鍵,如此才能找出根本原因(Root Cause)。
除了SOC監控外,中華電信資安監控委外服務逐漸納入資安事件的分析、鑑識、問題排除、追蹤處理及緊急應變、滲透測試、資安防禦部署顧問等服務,同時為了協助企業建立資訊安全管理制度並通過ISO 27001認證,也提供ISMS(Information Security Management System)顧問輔導服務及教育訓練等。
他指出,相較於其他SOC服務業者,中華電信規模與資源皆較充裕。其專業的資安技術研發團隊,是由中華電信研究院資通安全研究所及數據通信分公司資訊處,所共同組成的資安技術研發團隊,與國內、外資安廠商進行技術交流,並因應新型態攻擊事件與新資安威脅提出解決方案。
|
▲中華電信數據通信分公司資訊處科長謝東明觀察,SOC服務的發展,皆來自企業端需求而定。而市場現階段對資安的兩大需求,一個是防駭客攻擊,一個就是法規遵循。 |
該團隊多數擁有高學歷(博士2%、碩士76%)及各領域之專業技術人才及證照,人員流動率相當低,因此得以累積豐富的資安專案建置、資安事件分析及處理經驗,並加以整合系統開發與網路,以確保專案客戶之進度與品質,並提供在地化快速有效的防護能力。
謝東明表示,如今的資安已變得相當專業,一般的企業規模較難以擁有專精於資安領域的人力。由於資安技術無法只單靠學校學習的基本理論,大部分得仰賴實戰經驗的累積才能具備某種程度的基礎,特別是對資安敏感度的培養,才能在弱點掃描中辨識出可能的弱點,進一步加以解決,因此練功時間沒有停頓週期,需要不斷跟進各種新興攻擊手法,這部分只能仰賴投入大量資源來培養,即使是像中華電信的雄厚背景,要招募該領域技術人員都不容易,只能要求基本需具備資訊技術背景,報到後再On-Job Training。
中華電信SOC監控中心於2003年開始對外提供SOC監控服務,歷經近10年的時間,整體服務項目、人員編制及設備架構均持續精進與擴大,從原先僅監控客戶端防火牆、入侵偵測/防護系統,到後來持續新增幾十項資安監控項目與資安服務,例如防毒、AD Server監控、滲透測試、網站安全檢測與防護、個資外洩檢測、DDoS攻擊防護,及因應APT攻擊的防護等,皆為因應全球資安威脅與趨勢而建立的服務。