觀點

看清需求 別讓SOC失焦:耗費龐大人力、物力,豈能不仔細評估?

2009 / 07 / 15
吳依恂
看清需求 別讓SOC失焦:耗費龐大人力、物力,豈能不仔細評估?
資安監控中心幫助人們找尋隱藏在記錄當中的重要線索,但我們得到的效益,是否真的多於所付出的?

  自93年資通安全會報針對A級主管機關推行資安監控中心的導入以來,因應著各單位的需求也出現了不同的建置維護型態,除了自建自維、委外,還有協同維運,資安人回顧過去經驗,也觀察到近來不少如雨後春筍般出現的資安監控中心,多數受訪者皆表示,在成效的顯現上或多或少都有些進步,因為過去無人看管的Log記錄,至少現在可被集中控管、判讀,從每天10~100萬筆資訊中,撈出真正重要的10~100個Log,並且透過關聯式分析找出資安事件的關聯。

  尤其對於幅員廣大、或資訊系統複雜的單位,這樣整合式的架構更有助於收攏系統弱點,只是,這並非適用所有單位,也不是處理資安事件的萬靈丹,在某些系統架構較為簡單的單位或是承擔的資安風險,是否也真需要付出如此多的資源及人力來導入、一窩蜂跟流行呢?付出和真正解決的資安事件比例,是否成正比?要在大海裡捕魚我們應該乘著大船灑下漁網,但在溪流裡釣魚或許獨木舟就夠了!該做的當然就得做,但是能夠使用簡單方式解決的,也不需要花大錢。

真的需要資安監控中心嗎?

  目前在資通安全會報的推廣之下,無論是採用委外、協同維運或自建自維的方式,政府A級機關大部分都已完成資安監控的要求。只是,讓我們回歸到資通會報的主要目的-要求各單位要有資安應變處理的能力,由此可知,建置資安監控中心不過只是資安應變處理的第一步。有些單位認為他們非常需要資安監控服務,否則沒有專門的人可以幫忙照顧,自己也沒有人力與能力,但弔詭的是SOC就是一個相當需要人力與能力的建案,一個完整的SOC可以說是所有資安建設整合的縮影,即使是完全的委外監控,終究也只是監控,發現問題之後還必須要有專業能力來解決資安事件,否則發現了諸多問題又回到沒人力與能力的循環,豈不是白做工?

  此外,對政府機關來說,持續營運系統並提供服務給民眾才是最主要的業務,資訊安全的目的並不強烈,最終是要達到「持續營運」的目的。例如自來水公司資訊中心副主任葉執東就表示,產水系統負擔起供水的重要功能,注意系統是否負擔太重,因而導致系統停機,這是自來水公司最重要的事。病毒及外部入侵的威脅雖然也很重要,卻仍然以不停機為主要目的。是不是所有的A級機關都有如此高風險的威脅,以致於要運作一個如此耗費預算、具備相當專業人力的方案呢?又或者根本可透過審視制度面、改善流程以及整合原有資安設備的手段便可完成?

  也有的,是打著自建SOC的名號,做委外的事。在人力不足的狀況之下,為什麼不乾脆完全委外,還要花錢買平台自建呢?該機關人員說,因為有資安的考量,不想給廠商太多的權限。不過,最後覺得做的實在是有點四不像,上班時間兼職的維運人力也是有空才去看一下,想一想,花了將近千萬,還不如一開始就整個委外給廠商去做,談好維護的條件就好,營運至今有何成效?「好像有發現疑似駭客入侵的行為」,「然後怎麼處理?」筆者追問,「後來行為就沒啦!」他覺得,成效不怎樣。

資安監控中心維運模式

  儘管SIEM平台有一定的複雜性,然而在系統建置的過程中硬體永遠是最簡單的一部份,後續如何維護並讓它產生應有的效益,才是最困難的,因此評估面當然也要夠寬、夠周全。SOC在全球開始有了商業模式經營的發展,大概是從2004年開始,我們來看看這些年來,在台灣,有哪幾種資安監控中心的維運模式。

觀念未興、資源不足 資安監控多委外

  我們回顧這些年來的資安監控中心導入案,93、94年早期的案子大多是委外(MSS, Managed Security Services),只是委外的方式也是不盡相同。中華郵政資訊處管理師黃龍珠說,由於對資安監控中心並不甚熟悉,當時可選擇的廠商及工具也相當有限,並且資源吃緊,一來當時中華郵政也有人力凍結的問題,在專業上也較無法明確寫出原則,二來對於後續的硬體維護也有資源上的問題,因此便請顧問公司協助開建議書徵求書(RFP, Request for Proposal),並採取評選的方式招標,而當初的需求是連設備都委外,也就是設備採取租賃的方式,並要求該廠商駐點輪班服務。

  另外一種方式則是直接購買設備,請廠商協助建置之後再完全委外,自來水公司便屬於此類,另外常見的也有連SIEM平台都不建置在自家單位,完全委由廠商監控,以廠商駐點的案例來看,好處是駐點人員可以即時反應,讓IT系統負責人能夠馬上掌握狀況,不過如果在預算不足的狀況下,很可能使得駐點人員素質參差不齊,成效與花費可能還不如完全委外。

  中華電信數據通信分公司資安辦公室主任吳怡芳認為,並不見得一定要建一套SOC系統才是做好資安,如果要自己維護資安監控中心就會有人力及能力專業的問題,尤其以過去的台灣來說,學校的教育環境並沒有培育這方面的人才,也容易會陷入一些迷思,因為I T與資安的背景是不盡相同的,對於資安很重要的事情是,應該要瞭解外面最新的威脅,並且將之轉化成系統上資安佈建及措施,以ISMS的角度來做好管理的機制。

  只不過完全委外又過於單向且被動式的等待廠商通報,而無法主動式的發現成效,IBM全球資訊科技服務事業部顧問經理陳俊昌提到,有時候政府單位因為要符合政策規範,而快速的導入資安監控委外的服務,但其實長官們還是會質疑,資安監控全都委外,那麼效益在哪裡?可以隨時進去系統看看狀況嗎?因此在完全委外的狀態下,資安監控服務廠商與使用單位之間的互動也就變得極其重要。

終極目標為自建的協同維運

  另外則是協同維運或稱分時代管,通常是在剛開始建置時就考慮到,等協同維運期滿後自行維運,所以軟、硬體都自行採購,例如台灣電力公司、中國石油。由於一般的政府資訊人力已經相當不足了,更遑論會有7(天)X 24(小時)的人力可以來處理,考慮到資源限制,通常都會採取上班自行維運一、二線,下班由委外廠商監控,也就是使用者自行負責5(天)X 8(小時)加上週末的方式。以各家廠商的角度來看,目前政府機關大都尚無足夠專業的人力可以自行做到第三線的維運,因此不論是哪一種維運方式指的都是第一、二線是否委外,在第三線人力專業不足的狀況下,通常會依照合約簽定的不同,有定期的資安健診或不定期的
最新資安動態分享,專家會把心得告訴使用者,解決、偵測事情,甚至有時候提供客製化服務。

  acer eDC資深經理黃瓊瑩就說,第三線的人才非常難找,不僅要從事資安,還要有足夠的能力跟經驗,技術門檻也較高。一般的政府機關甚至A級機關,其實並不真的需要去養這樣的人,因為該資訊部門的主要業務目的是業務持續,卻非資安,因此在考慮需求及風險種種因素之下,需要思考業務重心在哪,否則真找來這樣的人才也會留不住。

  也有的是本來就有24小時的網路維運中心(NOC,Network Operations Center),只要將現有的operator加以訓練便能進行簡單的SOC第一線監控操作,第二線則通常會是由該單位的資訊中心人員負責,通常會是原本該系統的負責人,多半希望可以在協同維運的期限內中將第一、二線人力訓練起來,以求後來能夠自行維護。關貿網路資安顧問王瑞祥也說,事後的維運關乎到人力成本,所以後續的維運才是花費高昂的部份,另外他表示,如果第一線人力素質夠好,也將有助於提升結案率,減輕第二線人員的工作負擔。中央氣象局氣象資訊中心副主任程家平提到,如果在預算充足的狀況下便能將技術層次最低以及最高的第一、三線委外,預算不足就選擇委外第三線人員,若真的落到沒預算的時候,至少還是有自有人力支援,就這樣看來協同維運時期的技術移轉就變得相當急迫且重要了。

  不過,也有人認為,若萬一真的發生重大資安事件也必須通報技服中心NSOC,雖然不能要求NSOC到府服務,但至少還可以向技服中心諮詢協商,幫忙協助解決問題。

極少數的自建自維

  自建自維的案子其實是相當少見的,在各方面的困難度也相當高,不過,近2年來不僅產品價格趨於合理,功能也更成熟可用了。Novell台灣區CISSP產品經理李逸凡說,自2006年以來,SOC平台已經逐漸成熟,在許多地方已經可自動化的取代人力介入,仰賴委外部份也越來越少,如一線人力。

  國網中心是自行維護的其中一例,由於過去要維護學網及研網骨幹,因此如同前面所提到的原本便具備現有NOC人力,國家高速網路與計算中心資訊設施組組長蔡一郎說,只要對人員進行半年到一年的訓練,即可進行資安維運。目前國網中心配置的人力是第一線白天有2名leader,分別負責處理網路事件異常跟資安事件分析,晚上則有4位輪班進行24小時監控、接單、通報,同時也部分外包人力駐點。第二線人力全由國網中心人力負責,處理第一線無法處理的,第三線則進行定期的資安事件分析、新攻擊的發現、定義,共3人,但仍嫌人力不足,目前一、二、三線人力幾乎均由國網中心自行維護。未來或許可望在與教育部的合作計畫之下,針對學網、研網提供資安監控的服務。

  正由於他對S O C自建自維的認知,以及加上主管的大力支持,不僅對一些舊有Firewall、I P S進行更新,讓S O C建置起來的效益更好,此外對於後續每年的維護也都投入不少的預算。正確處理應變資安事件,乃是資安監控中心設立的宗旨之一,透過資安事件的搜集,豐富資安事件資料庫並予以分析,解除資安事件並修正設定,如此良性循環才能逐步提升資安防禦能力。然而SOC的自行建置與維運有許多的前提,包括資源充裕、專業能力等,如果條件不足,或組織規模較簡單者,便應該考量是否有其它方式可以因應,要是以成效比來看,一套半調子的SOC,恐怕還不如完完整整、確確實實的系統整合與流程管控。

SOC維運人才
  
  由於近來教育部政策的關係,部分教育單位也紛紛的建置起了SOC,採行方式也多是協同維運,中國科技大學電算中心系統網路組組長陳世賢提到,第一線人員較無技術門檻,按照SOP流程操作即可,可由資訊相關科技的工讀生、或學生來擔任,第二線便由學校資訊中心的人員兼任,三線則委由廠商監控。其監控成效或嚴謹度或許不比政府機關、民間企業,主要之目的乃是用做教學,開設相關課程以及提供學生實習的機會。