https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

看清需求 別讓SOC失焦:SOC成功關鍵因素

2009 / 07 / 15
吳依恂
看清需求 別讓SOC失焦:SOC成功關鍵因素
整體而言資安或許不能百分百防護,但是成功關鍵的每個因子卻必須百分百的做到。

  符合政策需求往往都是政府單位最主要導入系統的原因,但處理和規劃的心態不同,往往也會得到不同的結果。

應當具備的先天條件和正確心態

  一般來說,協同維運或完全委外將第三線人員的工作外包出去之後,是否便可高枕無憂了呢?即使在SOC廠商通報之後,確認是否為資安事件以及事件的處理,最終還是會回到使用者本身,大約80%還是要由使用者來執行,因此,資安監控中心最後的成敗與否,關鍵仍然是回到使用者單位,如果以為委外之後就可以把系統設定、維護的工作丟給監控廠商,那麼在資源及法律責任歸屬等考量之下,成效亦不能過於強求,這種心存僥倖的心態即使處理了資安事件也是治標不治本。海巡署資訊處資通安全科專員李昌原就提到,由於長官展現的企圖心,以及該單位特殊的國安屬性,使得他們擁有專職的資安人力,這樣的規劃及資源,都是他們所擁有的優良先天條件。

開規格比價錢?SOC非硬體採購

  普遍的資安意識不足會造成在規劃、預算上受限制,例如說預算的審視會在採購部門等財務單位受到阻礙,這也是為什麼不管是使用者或是廠商,都會建議最好在建立起完善的資安制度以及成熟的資安環境下,再來投入資安監控中心的導入,像是在預算不足的狀況之下,SOC導入當中相當重要的後續維運費用、招標方式可能都會受到影響。一個政府機關受訪者表示,由於當年是採用價格標,價低者得標,所以3年來也換了3個廠商,雖然當初預算將近千萬,卻在廠商一次又一次的流血競爭當中,預算逐年遞減,在此狀況下廠商自然也無法提供良好專業的人力。他舉例,「剛開始駐點來的人還是個碩士,現在來的卻是個高職生,也不是要求什麼,只是有些事情他就是不懂,可是廠商預算就是這麼低,你也不能真的要求他付出很高的成本,這樣他們也做不下去。如果在合約裡面要求要有網路或資安證照,又會被認為是限制廠商資格。」

  台灣電力公司資訊系統處主管資訊網路的李建隆就認為,應該要採取評選標的方式,他說SOC的建置相當複雜,跟使用的工具、人力素質都有關係,同樣的事件發生,有些監看人會認為沒什麼,但比較有經驗、受過訓練的就可以判斷出事件之間的關係。他認為這並不像一般的硬體採購,如果只是單純開規格比價錢,很難會有一個好的結果,這是與案子的性質有相關。

  當年,前行政院長蘇貞昌曾表示:「現行各級政府多半採用最有利標,『這是有問題的!』,未來應以最低價標為原則,最有利標為例外。」在此次的採訪過程當中,有兩名受訪者不約而同講出了以上這段話,不管他們是否認同,在承辦過程中也都會受到其他人質疑,既然是例外,為什麼我們要走例外呢?用評選方式可以看出是否能因應需求規模,但採用評選標可能會有弊病產生,又要花很多時間去說服採購部門、政風、會計,低價標的書面審查,每個廠商都會說可以達到需求,最後又都只是看價格決定。再說,評選標也有類似的問題,因為價格也會佔評選分數成績的部份,儘管可能佔比例不高,一旦價格低到一個程度就會出現差異,採購部門或許會同意某廠商比較好,但是否好到幾百萬的差異?這看起來都是遊戲規則的問題,也有人提出概念驗證的方式,經過驗證(POC, Proof of Concept)之後再進行低價標。

  採購的相關制度,評選的設計應該也要有合理的規劃,若沒有適當的方針指引,公務人員就會動輒得咎,問題並不全在於制度本身,而是在於執行時需有更加彈性且恰當的判斷。當然,在政府單位做事會有許多規章與限制,專業不足或沒有相當熱忱的承辦人,是很難為了做好專案而去做些吃力不討好的事情,在採購法種種限制之下,政府單位承辦人往往是有苦難言。

平台逐漸成熟自動化 流程可強化事件追蹤

  在早期建置SOC時或許因為經驗不足或當時缺乏成熟的工具,營運SOC幾乎沒有什麼產品可以選擇,要不就很貴,要不就是不能用,也有廠商因為測試過程不理想,最後賠錢燒掉的嘗試失敗經驗。而受到政策規範的單位自然也有相同的問題,過去由於資源不足的狀況下,因此多以完全委外的方式來進行,雖然可以快速達到政策要求,但相較於現在的平台、人力成熟度,依然是不夠的。

  如何將使用者組織裡的裝置與SOC平台做很好的整合,就會是一個技術性的重點,通常廠商幫完全委外的使用者客製化的也就是這段,如果平台的彈性越好、支援性越高,在整合的時候自然也會節省更多成本與人力。另外,SOC的集中式架構在經過這些年來的營運,可以逐漸看到的挑戰是資料空間的需求越來越不足,由於SIEM平台也會儲存正常的log資訊,因此像這樣把資料蒐集到中央平台來做分析的集中式架構,目前已經開始面臨到頻寬、儲存的成本問題,而資料庫又是非常昂貴的,儘管大部分都會暫時先移至較便宜的儲存硬體磁帶,但未來也會越來越不敷使用,因此使用者在選擇自建平台時也必須將這些隱性成本考量進去,當然,也有一些雲端運算的作法,如國網中心目前考慮使用一些搜尋引擎,並且開發分散式架構,透過雲端運算的方式來解套。

  流程系統也往往會是資安監控服務廠商相當強調的一個部分,數聯資安安控處處長陳昭偉觀察到,早期建置SOC的一些單位由於本身根本就沒有ISMS相關事故處理流的資程安制度,通常都是先建SOC系統,再一邊接受輔導導入資訊安全管理制度,使得整個SOC的建置時程被拉長。他提到,一般大約花30~90天規劃建置即可,在整個處理流程不甚明確的狀況下,從監控、通報、產生報表到處理,往往都是一邊修改一邊驗收,通常都會先把系統建好一、兩個月之後,內部主管才會開始看見雛型,才知道怎麼跟內部流程做整合,再慢慢修改,因此會拖到一、兩年之久,而其實最好的狀態其實是應該要建置的系統去符合制度面,在非常清楚組織流程的狀態下,建置系統的時程其實並不長。

  完整成功的SOC建置有很重要的一部份在於處理流程(process)。這是因為監控、產生報表、通報、處理的流程機制如果沒有做好,在事件的根除上就會有困難,變成治標不治本,舉例來說,維運SOC常見的現象是,在看到系統已經非常多的弱點的狀況下,單位應該要改正,但是監控廠商與系統原廠之間因有責任歸屬問題,無法彼此合作,可能系統原廠需加收費用,又或者系統已存在許久可能原廠已經不見了,要看各單位的狀況如何解決,在這種其他費用衍生的狀況下,通常會變成誰幫忙監控就也要幫忙解決,但這通常都會演變成買軟體送服務的額外工作,又能解決多少次呢?其實業主應該要回歸到原本的問題,找人重新設計系統或是找人解決,這也是為什麼要在設計流程之前,需要先按部就班的把組織的制度好好的審視一番。

資訊共享有助威脅分析

  最後則是對資安動態的掌握程度,knowledge從哪來?目前台灣的SOC多是獨立運作,並沒有與國外資訊交流接軌,廠商基於營運商業考量,也並不一定會投資到第三線人員的培養,要與國外的SOC接軌也需要付予權利金,並不一定會做這樣的投資。雖然台灣的資安威脅有其地域的特殊性,但僅固守台灣資安事件來源自然有其風險存在,例如說缺乏來自第三世界國家的攻擊樣本,資訊交流應多多益善。資安事件的分析需要相當的營運經驗與智慧,是否有方式能夠讓監控中心持續營運成長,有很多方法,廠商提供、自己找都可以。因此廠商如果客戶數夠多,具備許多案例經驗,則經驗豐富更有助於辨識分析資安事件。或像是國網中心於08年底申請加入Honeynet Project國際組織,成立台灣Honeynet Project支會(Taiwan Honeynet Project),國家高速網路與計算中心資訊設施組組長蔡一郎提到國網中心與國外合作的誘補網路系統(Honeynet),分別在國網中心的北中南三地捕捉威脅資訊並進行分析,將可望與國際接軌,保持與世界各地的資安聯盟資訊互通。其實,這可以算是較為進階需要考量的部份,對於想要轉為自行維運的單位,如果不能滿足於台灣廠商所提供的資安事件資料庫,當然也可以評估資源而向外自行尋找。

結論

  資安監控中心的優勢主要發揮在於整合複雜的系統與環境,並提升資安環境,然而其中要投入的資源及人力也並不是那麼簡單,導入的成敗與否蘊含了許多元素,更不僅是為了符合政策規範一言可敝之,仔細觀察成功案例,可以說自發性的需求及承辦單位的熱忱與專業佔有很大因素,而或許沒有明顯的成敗可論,但評估風險與投入成本的時候,不可否認的是,還得看是否能夠持續投入預算及人力的支援,如果不能具備所有應該正確的心態與條件,是否該踩踩煞車,等準備好了再開始?

承辦人不知要買什麼 廠商也不清楚賣什麼

  有個知名的案例,在3、4年前曾經有個單位,由於承辦人對SOC建置的規劃錯誤,在案子的設計上就有相當的問題,在承辦人不知道要買什麼,廠商也搞不清楚他們在賣什麼的狀況之下,整個案子的建置過程非常的狼狽。當時是採取低價標的方式招標,得標的服務整合商也並非資安專業廠商,當時的承辦人在技術上的要求並不盡合理,例如說在其所屬的每
個分所都佈了監控點,這就至少幾百個點,而負責業務當時也漏算了各點之間連回S I E M平台的網路通訊費,或是廠商去佈建設備的交通費用等,過程中承辦人也沒發現,最後得標的廠商發現虧大了,被迫只能使用便宜且小型的平台,但該平台並沒有能力監控如此多點,只好勉強用堆疊的方式建起來以符合合約,所以廠商提供的產品品質也不理想。據了解,原服務整合商本來只是想帶產品的代理商進去建置就好,後來發現搞不定之後,才又再另找其他專業服務整合廠商進來幫忙,整個建案花了約6、7千萬,事情拖了1、2年,後來也罰款直到上限2,000萬,有人說,這案子總算是了結了。但真的這樣就算完成了嗎?建置完,才只是監控、處理資安事件的開始,不是嗎?在這樣拼拼湊湊勉強完成的系統之下,其成效當然就更是令人質疑了。