觀點

你真的需要SOC嗎?

2010 / 04 / 27
廖邦彥
你真的需要SOC嗎?

類似電影中的劇情:安全管制中心一片寂靜,一群執勤人員專心的坐在岡位上,監視著牆壁上大尺寸的螢幕以及座位上螢幕的數據,突然間警鈴大作,螢幕上的地圖一區一區的由藍轉紅,管制中心的電話開始響起,執勤人員依據標準的安全流程開始分析攻擊的來源以及形式,發現是分散式阻斷攻擊(DDoS)。雖然入侵防禦系統(IPS,Intrusion Prevention System) 已經阻斷其攻擊方式,但是根據網路使用量時報告其流量已經佔據了聯外網路的大部分頻寬,因此負責人員開始聯絡網路服務供應 (ISP,Internet Service Provider),請求在攻擊到達公司網路前就先依照此次攻擊的特徵將之阻擋下來,並且同時通知公司資深安全工程師進行該事件的進一步分析,以及持續監控是否有造成更多的損失而針對該事件的檔案也已開啟並且記錄。
 

對於SOC的印象

以上的虛擬案例, 應該是我們一般對於資訊安全防護營運中心(SOC,Security Operation Center) 的印象。宛如科幻或者戰爭片的管制總部,一切重要即時的資訊透過這個地方統籌分配,好比一個戰略中心。在將資訊安全視同作戰的今天,SOC 的確就是一個資訊戰的戰略中心,提供24x7無間斷的服務,監控以及反應安全事件,並且在適當的時機依照流程將事件交由上一層負責,以及記錄、比對事件、從中學習。

 

SOCNOC
早在SOC 的概念開始之前,網路營運中心 (NOC,Network Operation Center) 的觀念就已引進並被推廣了。NOC以一個宏觀的角度監控整個企業組織的網路,提供線上服務,網路以及服務的承載度,案件處理,並有固定的執勤人員全天24小時的負責監控以及初步標準化處理,並在適當的時機啟動高一層的人員介入需要處理的事件。SOC 也是以一個宏觀整體的角度,監控整個企業組織的安全狀況以及負責初步的處理反應,所以SOC 以及 NOC兩者有相當高的相似度,都是需要提供不間斷的服務,以及監測資訊環境的可用性以及完整性。而NOC所監控的一些部分,比如服務是否被中斷,網路阻塞時是否遭受到攻擊,其實也是SOC也要監控的部分;而NOC也必須由SOC提供的事件來進行處理。因此, 思考兩者如何整合甚至如何結合是相當值得考量的一個主題。

SOC與電腦安全事件處理
以建置電腦安全事件處理小組的角度來看,建置SOC可以說是用來實現資訊安全事件處理的一個方式,在事件發生的時候,如何進行蒐集、分類、分析、處理,可以說跟電腦安全事件處理流程是環環相扣。在資訊安全防護營運的步驟(http://www.iv2-technologies.com/SOCConceptAndImplementation.pdf)裡,從事件的產生、蒐集、整理、分析到知識管理、處理以及回報。 我們看看安全事件處理的六個步驟:準備、辨識、封鎖、消除、復原、以及經驗累積,兩者之間可以說是一體的兩面,一個從事件的產生來看,另一個則從準備應對事件來入手,但是實際的應用上,可以說是相輔相成的觀念。


SOC與其他安全及資訊功能
其實SOC 與很多現有的安全功能以及資訊功能更有著密切的關係:SOC 的事件蒐集,即是仰賴 Log 的蒐集以及分析。安全設備管理,在蒐集監控安全事件的發生,所仰賴的是蒐集從防火牆、防毒軟體、入侵防禦系統、系統安全事件記錄等等對於安全設備如何整合並關聯事件發生的相關性。很多安全政策的規定以及安全組織的規定,也與SOC的建置運作是息息相關的。

 

真正需要的是什麼?
如果今天討論的公司是大規模的ISP是有許多不同網路區域所組成公司網路,那麼我們應該需要一個反應不同區域、不同網路狀況的地圖式監控儀表版。如果我們今天規劃的是一個,只有一個到兩個不同地點的辦公室的組織,那麼可能要考量一下是否真的有這樣的需求,所付出的會不會有合理的回饋?同樣的,如果公司組織的資訊安全事件處理流程已經相當完備有效了,那麼就沒有必要重頭來過;NOC的監控以及處理流程如果已經完善,應該考慮的則是如何與SOC結合,或者是讓已經存在的NOC具備SOC 的功能。

 

結語

我們都樂見整個產業界對於資訊安全有進一步重視的趨勢,然而如果只是因為跟著流行趨勢來規劃資訊安全,對於這個課題能夠真正提供多少有效的功能,則需要打上一個大問號。如果引進了一套資訊安全防護營運中心,但是一但安全事件發生的時候沒有辦法利用到整合的系統,營運中心沒有辦法跟NOC資訊服務案件系統 (helpdesk ticketing system) 結合的話,對於整合資訊安全反應的資源將相當有限以及困難。有了這些像是資訊安全防護營運中心的系統,對於即時反應資訊安全的威脅絕對是有幫助的。然而更重要的是,對於如何執行標準的電腦安全事件處理程序、資訊安全的各種任務、配合資訊政策, 以及網路營運中心是否充分的規劃以及準備,這些才是我們之所以可以利用SOC 來進行整合的部份,若都尚未準備好,花再多錢建置SOC 都是事倍功半,甚至徒勞無功。