https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

資安委外的神秘客 SOC的五大嚴選條件

2005 / 02 / 03
邱詩琁
資安委外的神秘客   SOC的五大嚴選條件

提到資安委外,有一組人員待在一間專門機房當中,24小時全年無休地幫客戶監看網路狀況,若有任何突發狀況,會立即通知客戶,並協助做處理、排解。你可以把這間機房想像成類似IDC的機房模樣,不過這群專家負責的是監看防火牆、入侵偵測/入侵預防等系統,協助客戶做滲透測試、弱點評估等服務,他們所待的機房由於專門以資安監控為主要任務,因此我們稱此為SOC(Security Operation Center)資安監控中心。
目前台灣有幾家廠商設有專門機房、提供此類服務,包括三年前創立即以專門提供SOC服務為定位的立駭科技;代理多家國外知名資安產品,最早源起於協助Check Point防火牆客戶做代管服務,而漸具SOC規模的精誠資訊;代理國外知名入侵偵測系統ISS(Internet Security System)產品,2001年底正式引進並提供SOC服務的鈺松國際;以及由知名的保全公司新光保全和擁有完整安全產品線的軟體大廠CA(Computer Associates),所共同投資的新光組合。另外,在全球設立有六座SOC中心的網路安全大廠賽門鐵克,目前在台灣雖未建立機房,不過於去年初在澳洲雪梨成立的最新安全監控中心,負責對亞太地區的客戶提供資安委外服務。
尋找資安夥伴有許多要素要衡量,尋找能協助自家代管、監看資安事件的SOC夥伴,顯然要考慮的因素更為多元,由於資安委外的敏感性,對於廠商的信用、自身安全性的要求更是高標準。雖然目前對於何謂SOC中心並無一絕對的條件限定,不過有些必備條件可做為挑選SOC夥伴的嚴選標準參考。

嚴選條件一:
證明機房之安全性
SOC機房其實並沒有一定的標準,它的外型也許就如同科幻電影動作中看到的有著閃耀金屬光澤的冷冽牆壁,壁上掛著一個個巨大的監看螢幕,十足的高科技未來感,不過賣相佳不是最大重點。由於機房需提供24 x 7全年無休的服務,因此機房自身的安全性、所在位置需嚴格要求。立駭的機防設在新竹,鈺松將機房設在綱骨結構的大樓內,機房本身是否處於避開颱風地震等高危險地帶的地區位置,並做好備援機制以為因應,皆屬機房的必備條件。
精誠公司資訊安全技術處長黃政杰表示,基本上,一個專業的SOC機房需考慮到機房的安全性,包含有門禁、監控、錄像、空調、防火/煙、機電等設備,及人員的安全性,包括人員之管理、及人員區和系統區應做區隔;系統必須做加密、備份、備援等動作以確保安全;存取、傳輸資料方面,如同一般對資訊安全的要求般,廠商本身當然也需配備有防火牆、IDS 、VPN等設備以維護資料安全。
立駭科技副總王海龍則表示,立駭設在新竹的機房,符合有以下的軟、硬體條件:在實體安全方面,配備有多層次安全門禁系統與全程監控的保全系統;全負載長時運轉的發電機以N+1建置;目前具有二條以上數據專線,連接不同的ISP以提供備援的服務,並擁有自己專屬的IP位址;UPS不斷電系統建置,可以供應SOC 3~4小時之電力,提供瞬間斷電需求,並可以作為發電機備援之用。機房位置座落於需有完善的防水防火防震等預防天然災害的完善安全設備。並提供客戶24小時電話通報熱線。
在技術部份,立駭自行開發Gateway 軟體,可整合標準通訊協定、警報事件至安管中心。(如:SMTP, SNMP Trap, Syslog , Windows Event 等) 。因此,可以整合不同廠商的資安設備產品。並提供有資訊安全入口網站以彙整各類資安資訊,提供客戶決策的依據。


嚴選條件二:
廠商提供之專業服務
而SOC中心的主要任務便是藉由專人提供全年無休的資安委外監控服務,主要的監控項目不外乎是資安的重要設備:防火牆、防毒、入侵偵測/入侵預防、弱點評估等。防火牆部份,可協助規畫及架設,並做防火牆的規則設定、資料庫的管理,發現惡意攻擊立即通知客戶並協助處理等服務;另外,需要在網段中擺放多個sniffer的入侵偵測/入侵預防系統,更需有經驗的廠商提供規畫及架構的服務,並藉由定期產出的網路流量、封包狀況等報表,協助評估客戶的網路狀況,因此也可結合至對防火牆政策做定期的檢視和修改,而入侵偵測最主要的功能是要能協助即早發現可疑攻擊,並做即時的阻斷等處理動作。
另外,在病毒的防治處理方面,最重要的是做到集中管理、統一派送最新病毒碼;弱點評估管理,則需定期對網段、主機做掃描,並針對漏洞做即時的修補。有時弱點未必單指系統程式的設計失誤,有可能發現政策訂定上的缺失或不合適,藉由政策的修改和統一發佈,也許就能免除未來可能的後患。


嚴選條件三:
服務人員之專業、誠信、溝通能力
許多企業會將資安委外,多半來自於人力的考量,網管人員可能無法負荷複雜的資安系統管理。而SOC廠商要如何說服客戶信得過自己、信得過他們所提供的服務品質,人力素質是一大關鍵。已經在全球擁有六座SOC中心的賽門鐵克,對人員有嚴格的要求。所有資安分析師均需具備IT相關背景,目前賽門鐵克的多位資安分析師都曾任職於軍事情報部門,或是其他資安相關產業。並會先對所有員工的專業背景做詳盡調查,以取信於客戶。
賽門鐵克並表示,每一位安全監控中心的員工在正式任職前 ,公司會安排一系列嚴密的訓練課程。課程包含了課堂及實驗室的課程,課程內容涵蓋了SOC中所需要監控及管理的資安項目的各個面向,讓員工能充分熟悉既定的資安政策及安全監控中心的運作流程。完成了全部的職前訓練後,員工將進入各式各樣的在職訓練期(on-the-job training),在SOC指導員嚴密的監督下,證明其完全熟悉各個特定領域的任務後才能獨立作業。除了初期的培訓計畫之外,亦定期為員工安排訓練課程,包括各家廠商資安產品的瞭解與訓練,使員工同時具備有管理賽門鐵克自家產品及其他廠牌產品的能力。
而精誠目前最自豪的便是人員的優勢。精誠將SOC工作人員分為資安監控組及緊急應變小組,監控小組便是SOC中心監控的人員,需7x24小時監控客戶的防火牆、IDS等資安系統狀況,以便即時分析與反應;緊急應變小組為當客戶需要到場協助時的專業服務人員,同樣是7x24小時隨時依客戶實際需求應變及到場協助客戶處理資安問題。
黃政杰表示,最令他們引以為傲的是,從7年前推展資安服務開始的主要技術人員目前都仍舊在精誠服務中,這同時也是對客戶服務品質的保障。目前精誠SOC人員的IT工作年資平均在5年以上,資安年資在3年以上。精誠認為,人員為SOC服務最重要的一部分,特別注重人員的培訓,造成人員流動率甚低。
除了基本防火牆、IDS、防毒的認證外,精誠服務人員並取得有BS7799 LA、CISSP、駭客技術訓練等世界知名資安認證。並且和代理原廠有密切的互動,做國際同步技術交流。除了技術能力外,精誠表示對於人員的服務特質特別要求,尤其是操守、溝通能力及穩定性,因為唯有道德操守良好的人才能保障客戶的資訊安全,溝通能力則是傳達訊息及客戶服務溝通的基本條件。
立駭則把旗下服務人員分為五類:監控中心值班工程師、服務支援工程師 (On-site Service)、製作各類報告工程師、資安入口網站服務工程師及研發工程師,而目前員工皆具有2-3年經驗。新進人員除了要是大專資訊相關科系畢業外,還需具有資安及網管相關經驗;另外,人員進來後除了做資安設備相關技術訓練外,立駭還設有防駭訓練平台,並要求員工在一定時間內需通過考驗。鈺松則把人力分為L1~ L3三個級別,目前共有13位工程師及兩位SOC Manager。召募人員時自然是偏好對資安技術有濃厚興趣之人,提供教育訓練課程、並獎勵人員去考取資安認證。


嚴選條件四:
廠商之誠信、財務能力
除了提供服務的人員要獲得客戶的認同和信任外,另一個同樣重要的是廠商本身如何取得客戶的信賴。目前立駭及鈺松皆已通過國際知名資安管理標準BS7799的認證,精誠則表示,從成立SOC起,一直是依照BS7799的精神做所有工作規範及資安控制措施,預計今年第二季將取得認證。
而賽門鐵克則以國際知名調查機構的肯定做為實力證明。根據Gartner針對2003上半年度的全球安全委外管理服務市場狀況所做的分析報告「Gartner's Magic Quadrant Report」,賽門鐵克安全委外管理服務均名列在北美地區領導者象限(Leaders Quadrant)中,該報告評量的標準為營運願景及執行北美區安全委外管理服務的實力。該報告每半年公布一次,而這已是賽門鐵克連續第三次獲得列名。
為了獲得青睞,賽門鐵克需證明其執行能力,包括年度總營收與投資成本、通路合作夥伴的廣度、豐富資安管理經驗及客戶的高度認同等。


嚴選條件五:
事件應變能力及處理程序
證明完種種背景、實力後,真正遇到資安事件、緊急狀況時,廠商的處理程序又是如何?(請參考圖一的服務廠商應變流程圖)
同時,若是確認客戶所受到的是某一種特定的網路行為攻擊時,還需立即採取防範措施以避免其他用戶也受到該網路行為的攻擊。賽門鐵克表示,這些回應步驟採用了其最新一代的技術,會在攻擊確認後自動被執行。
由此可見,資安委外的另一好處是,由於廠商的監控對象包含有各地客戶狀況,網路攻擊又屬無國際且漫延迅速者,因此廠商可以藉由豐富的資料搜集和經驗判斷,協助客戶在最快的時間做出因應,這更突顯了SOC中心能夠協助資安防患未然的價值。


市場現狀
不過,由於資安委外的風氣於這一、兩年才漸為客戶所接受,立駭科技協理曾文德表示,目前仍以政府客戶為主,一般企業客戶市場仍有待教育、推動。新光組合則採取和中華電信合推解決方案,由中華電信較為人所熟知和信賴的品牌,針對一般中小企業推廣SOC方案才能更具說服力,並能同時結合網路管理之服務。
目前SOC服務的計價方式,因為多是專案性質,得視客戶個別的需求和狀況估價。由於設備是佈署在客戶機房中,廠商主要是提供遠端監控服務,並未具備有管理者最高權限。曾文德表示,不同客戶開放的權限亦不同,很多時候,事件發生皆需工作人員到客戶端處理,並未有遠端處理之權限。而由於國外委外風氣較盛,信賴程度亦較為深厚,因此擁有之權限亦較高。曾文德並提到,由於國外客戶的資安認知和技術普遍來說較國內客戶為高,因此有時藉由電話或網路協助處理便可,不過國內客戶較偏好廠商親自到場解決,因此廠商也需具備更多人力以為因應,再加上目前委外市場仍不普遍,經營起來也就更為辛苦。而新光組合亦認知到目前推資安委外不易,除了和中華電信合作的專案外,他們也提供協助客戶自建機房,或是藉由教育訓練讓客戶能自行接手管理,以節省人力的成本耗費。
為獲取客戶的信賴,除了種種能力技術證明外,廠商本身的財務能力,及遇到事故後,如何做賠償、是否有能力負擔賠償等 ,因此保險成了最後一道安全防線,不過目前國內並無相關法源依據,因此無保險公司提供此類險種。在韓國和台灣皆設有機房提供服務的立駭,便是投保在韓國。跨國公司亦是將風險承擔轉嫁至國外的險種中。除了獲得國際認可的資安標準BS7799認證外,有些國外SOC中心會由會計事務所做定期稽核,提供具體稽核報表以取信於客戶,這些都是SOC廠商信任度的明證,也可做為使用者挑選夥伴的參考之一。
如何挑選SOC夥伴?除了有種種嚴選條件可供參考外,當然廠商間的互動往來、合作默契都是評選的重要考量。除了夥伴關係外,亦不妨將之視為良師益友,藉由和廠商的互動、合作,增進自身的資安功力,何嚐不是自身安全的另一種確保。


案.例.分.享
立駭科技
曾協助客戶:
在監控服務時,及時發現且制止遭入侵且被植入木馬程式之主機對外發動DOS攻擊。並阻擋惡意入侵。
及時阻絕被並毒感染之PC擴散CodeRed。
阻絕至少20次線上遊戲外掛程式被入侵。
協助查殺後門程式。
7 x 24 x 365 monitoring service. Special access control特殊需求之滲透測試服務
鈺松國際
某高科技公司委託代管其DMZ的IDS系統,依據該公司在Internet的存取控管政策,開發了一套與路由器整合的阻擋機制,只要發現惡意的攻擊,可立即將來源IP阻擋在路由器之外。
某政府單位委託進行網頁的效能及內容的監控,因其內外實體隔離的網路架構,為其建構特殊的通報系統,以達到即時通報的目的。
某佛教團體因教宗宣揚,受大陸駭客鎖定遭受經常性的攻擊,自從採用IDS的代管服務後,可以有效並立即發現及阻擋攻擊事件的發生。
某大學電算中心,自從採用IDS的代管服務後,內部蠕蟲事件被有效控制,並立即發現來自TANet的攻擊事件,有效阻擋DoS攻擊。


案.例.分.享
精誠資訊
一資安等級為A級的政府單位將所有的防火牆及IDS等數套資安系統都交由精誠來提供SOC服務,並做7x24網頁監控及定期內外部進行風險評估,為了提昇資訊人員資安反應能力,為其進行一系列緊急反應與駭客技巧教育訓練,從服務的過程中,也建立其資安技術能力。
為某客戶量身定做建立其資安緊急應變流程,及資安系統災難復原計劃。
另一個同為資安等級A級的政府單位客戶,當初因被駭客攻擊頻繁而聽從其他資訊廠商建議購買了數套IDS,但因單位IT人員只有兩人,一為主管一為此承辦人,因而無多餘心力對每天數百封IDS警訊做緊急處理,久而久之當初所費不貲的IDS也成為裝飾品,於去年中交由我們服務後,不僅針對其久未依資訊安全狀況調整的IDS政策,依其網路環境狀況做最有效調整,並為其找出許多常常因此被攻擊的漏洞,做好修復漏洞的事先預防工作,因此大幅改善該單位資安防禦狀況。農曆過年期間的Mydoom事件,我們更發現並事先做預警,讓其上班後立即通報所有人員注意,避免此次安全事件的發生。

賽門鐵克
澳洲Wesfarmers Limited
在和Wesfarmers所簽訂的三年合約期間,賽門鐵克位於澳洲雪梨的安全監控中心將提供全天候的安全監控、分析及回應管理服務,以改善其公司的資訊安全體質。賽門鐵克為Wesfarmers設立了一個線上的企業資安入口網站,使其管理階層可以隨時的存取即時性資安報告。並且可以在第一時間獲得來自賽門鐵克安全監控中心所提供的安全威脅警示訊息。
(Wesfarmers位於澳洲Perth,是一家公開招股公司(Public company),主要業務市場均集中於澳洲及紐西蘭。目前是澳洲前50大股東報酬最高的公司之一,現今約有100,000個股東,整個集團約有員工27,000人。)
澳洲CoINVEST
賽門鐵克為CoINVEST公司維多利亞營造工業所設立的入口網站提供安全委外管理服務,保障其維多利亞營造工業的員工財務資訊的安全。CoINVEST同時採用了賽門鐵克的網路型入侵偵測系統。
(CoINVEST為一私人機構,專為管理維多利亞區營造業工人的長期服務退休及養老計畫的組織。該組織目前註冊的成員高達超過124,000位工人及學徒、15,000位雇員,以及18,000位約聘者。

SOC