mini-SOC與流程管理

資訊安全事件相關機制
＊資安事件分析與處理作業管理程序

當資訊安全事件，如入侵、病毒、惡意程式、不當存取、服務阻斷等狀況發生，資安分析員在第一線應對時，必須經由適當的過程，對發現的事件做出處置，以控制可能對組織的危害與風險。一般而言，以下的項目(或階段)會在程序中涵蓋，範例如圖一。

1. 事件發生：當組織中的存取控制機制，如Firewall、IDS/IPS/IDP、Anti-Virus、Syslog等，對mini-SOC發出資安事件警訊時，資安分析員會在操控台(Console)於第一時間發現。當此種事件能被鑑識為特定事件時，應於授權內採取反制措施以降低或消除危害。
2. 初步分析：分析同時間在一定的範疇內，是否有相類似的資安事件，做出初步的歸納。
3. 界定錯誤告警(False Alarm)：檢視組織內已確定的False Alarm條件，將錯誤告警歸檔。
4. 判斷事件種類：對於事件做出分類，如：DoS、Trojan Horse、Unauthorized Access Attempt等，並依情況配與或確認嚴重等級(Severity)。
5. 應對措施：依不同的事件種類，施行適當的應對措施，如Router ACL、Patches、Virus Isolation 和Cleaning等。
6. 事件分析：包含歷史事件查詢、源頭追蹤、趨勢分析。
7. 告知被攻擊對象：依事件發生經過，通知被攻擊對象及其相關應配合事項。
8.整理事件紀錄並更新分析工具資料庫，如Co-Relation Rules、Knowledge Database等。
9.通知攻擊源或其服務提供商或其主管單位，要求查證並避免事件再度發生。
10.確認事件解決狀況並研擬預防矯正措施。

＊資安事件通報作業管理程序


資安分析員在處理資安事件的同時，也要將事件與處理狀況反映(或呈報)給其主管或相關單位，一則作為紀錄，一則做為外部單位(或人員)提供相關支援時判斷的依據，例如政府相關單位即依據國家資通安全通報與應變作業相關規定來運行。

＊資安警訊分析與發佈機制

當資安分析師值班時，除了監控組織內的資安環境外，也會接收來自外部的資安警訊。或必須主動去參考相關資安的資源。但是，一般性的資安警訊也許不適用於組織內的環境，或僅是部份適用，必須經過分析、歸納、驗證甚至翻譯，才能以適當的格式發佈給組織內適當的成員，做為預防或參考。範例如圖二。

圖三 資安事件趨勢分析

圖四 資安事件統計─Top10

圖五 每月數量比較圖

＊資訊分析與報表系統

mini-SOC除了提供即時監控的功能，定期與不定期的統計分析也是改善資安環境的重要因素。一則提供改善的參考依據，二則提供主管人員或機關目前組織的資安環境狀況，也藉此提高相關人員對資安工作的認知與重視。範例如圖三~圖五。

mini-SOC自身安全相關機制
＊安全事件通報與緊急應變作業機制


mini-SOC的組成包含了實體設施與資訊資產，不論何者產生了安全事件，如火災、停電、竊盜、洩密等，均會對組織的資安環境造成威脅。因此對於可能的安全事件應有事前規劃的通報與應變機制，使相關人員可以施行適當的應對方案。
1.災害復原機制：此機制可與組織內的企業永續經營計畫(BCP)及災難回復計畫(DRP)相結合，使mini-SOC能夠持續運作。
2.風險評估與控管機制：針對People、Processes與Technologies三大類，進行風險評估並選用適當的控制方法以控管風險。
3.內部稽核程序：定期由組織內部稽核人員對mini-SOC的營運進行稽核，藉以發現缺失並加以改善。範例如圖六。

日常維運相關機制
1.系統存取與儲存控制管理：mini-SOC因為儲存了組 織內與資安相關的紀錄與事件，且資料量龐大，必須有適當的存取管控措施以確保資訊之機密性、完整性與可取得性。
2.可攜式儲存媒體管理：若mini-SOC因作業需要而允許使用可攜式儲存媒體，如行動式硬碟、CD讀寫裝置等，便需要適當的管理以確保因不當使用而造成的風險。
3.系統維運作業管理：mini-SOC由應用系統與硬體組成，良好的維護工作能夠提高系統的可用性，例如系統負載率紀錄、儲存空間紀錄、作業系統升級、定期弱點掃描、應用系統功能驗證、資料備份、資安分析員排班值班與交班、資安控管設備檢測等。

外部單位相關機制
1. 訪問管理程序：對於非mini-SOC成員若因任務需要而必須進入系統或作業環境，便應注意到事前的規劃與當時的紀錄，並應對日常的作業影響降至最低。
2. 管理服務階層協議(SLA)：mini-SOC雖不像商用SOC服務企業客戶，但是對於組織內不同單位的業務特性與其對資安的要求，也應適當規劃不同階層的內部資安服務。
3. 資料進出控管程序：在某些狀況下，mini-SOC因任務需要而接收組織外部資料，或提供自身資料予他方，適當的存取控制與交換協定應該被確實執行。 當然，mini-SOC的流程與機制，可依各組織對資安需求的輕重緩急程度與自身資源的分配，分階段來導入。重點是，已導入的流程與機制要能被確實的執行，如此，mini-SOC才能發揮預期的功能。

本文作者 梁日誠 / Auditor-ISO9001/BS7799