https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

資安買服務 聽聽資安人員怎麼說

2010 / 12 / 13
廖邦彥
資安買服務   聽聽資安人員怎麼說

資安設備不同於一般IT產品,隨著IT技術更迭、企業資訊架構改變,資安設備也需定期更新或是調校policy,因此,廠商所提供的售後服務也就益發重要,但太多企業法接受買了軟硬體設備還要買服務的作法只肯花錢買設備卻不願意採購資安服務,資安市場買方與賣方的認知差異,促使資安廠商的商業模式慢慢有所轉變,其所提供的服務除了搭配軟硬體銷售外漸漸轉變為純資安服務

資安產品服務化漸漸成形

 

最近幾年越來越多IT廠商從銷售軟硬體往提供服務的方向發展,尤其在資訊安全領域資安廠商轉變為服務提供商的趨勢越來越明顯箇中原因很多,其中一就是上述提及,企業無法認同買軟硬體又要買服務的方式,因此資安廠商乾脆變商業模式,提供資安服務

 

第二個原因則是受到雲端運算(Cloud Computing)及軟體即服務(Software As A Service)的影響隨著公司資訊架構轉變,IT軟硬體設施不見得都在公司的管理環境或者機房內,某些部分已經完全由廠商去管理了,在選擇資安解決方案的時候,就得採用服務式的資安解決方案。比如說企業交由廠商代管郵件服務,當自身不需設置管理郵件伺服器的時候,又如何購買安裝傳統的資安軟體解決方案?企業資訊架構的轉變資安廠商成唯一有能力提供相關服務的一方

 

最後一個原因在競爭激烈的資訊市場,只要有機會發展新業務,總會有人試著開拓市場,即便不是軟硬體的發廠商,但只要有專業人員可以進行配置及管理,一樣有機會開發出一片天,資安領域牽涉到很多專業知識以及需要花很多時間去審核,這樣的特性讓廠商的代管服務有了很大的發展空間,客戶可以選擇要如何安排人力以及其他資源,服務供應商也可以專注於特定領域,提供更有經驗更專業的服務,並透過經濟規模(Economy of Scale)降低服務成本

 

  

 

企業資安跨出防火牆之外

 

根據近幾年我對企業資訊環境的觀察,資安作業從防火牆內公司內部網路移動到防火牆之外資訊服務廠商是最顯著的變化之一。

 

舉個例子來看以前的郵件安全解決方案不是將軟體裝在郵件伺服器上就是直接在郵件伺服器前端擺設郵件安全硬體設備達成防護郵件安全的目的然而現在越來越多的廠商直接把郵件防這一段擺到自家機房企業將郵件傳送的配置(MX record)向廠商的服務點本地端的郵件就只與廠商的服務交談

 

再舉一個例子入侵防禦/入侵偵測系統(IPS/IDS)開始蓬勃發展的時候上的商業模式就是採購IPS/IDS 硬體或軟體然後安裝使用然而現在越來越多第三方廠商直接幫你管理監控系統,廠商與資訊部門討論入侵偵測的架構以及執行方式然後由廠商提供並配置設備資訊部門人員微調設定後,交由廠商來監控,如遇到特殊情況通知客戶進行下一步的處理,平常情況則代替客戶進行一般監控,讓企業可以把時間以及資源花在更重要的事情上面

 

目前,市場上可以看到很多資安服務化的產品,除了上述提到的郵件安全代管入侵偵測系統(IPS)代管外,還有認證服務程式碼開發安全稽核安全設備代管防火牆VPN)、滲透測試(Penetration Test)程式補強管理(Patch Management)防毒管理等等, 幾乎舉得出來的資安課題,都有廠商提供相對應代管服務

 

  

 

資安服務化的兩面刃

 

然而,沒有什麼事情是絕對的正面或者絕對的負面資安服務化也是一樣有好就有壞,企業如果要資安服務化的趨勢變成公司的利益,就必須深入了解特性才能把好的部分發揮到最大把壞的部分盡量減輕或者避免

 

首先來看資安服務化的好處,包括:

 

1.因應資訊環境其他環節服務化,資安服務化才能讓這樣的資訊環境與安全需求緊密結合,提供更適合的安全功能

 

2. 集中企業資源專注發展核心價值,常聽說,沒有必要為了喝牛奶而養一頭牛,資訊安全雖然屬於高度機密的作業,但不代表企業不能將部分資訊安全的功能外包予廠商;

 

3. 符合企業的財務政策,以往購買軟硬體的作法,在會計科目上必須列為資產(assets)且要計算折舊(depreciation),但採購服務卻是屬於費用(expense)的一環,部分企業的財務策略傾向於後者,此效益雖然跟資訊安全課題沒直接關係,但站在經營者的角度來看,卻是必須納入考量的一點。

 

接下來則討論資訊服務化的壞處,包括:

 

1.增加資料外洩的風險,部份與資訊安全功能的特性有關,如果該項資訊安全服務有可能要檢視公司的機密資料,企業就得考量機密資料外洩的風險 

 

2.購買資安服務與傳統購置軟硬體念不同需要時間來增加接受度

 

3. 另外,某些計畫需要兩個或以上廠商共同合作的時候, 就增加了整合的困難度,以我最近的經歷來看公司需要虛擬私有網路(VPN)結合雙重認證(two factor authentication) 來增加安全性,然而,兩個部分分別交由不同的資安服務商來管理,因此如何整合雙方資源完成設定,成為計畫的難度之一不過如果管理得宜,這個倒不是什麼大問題

 

至於企業該如何管理?首先在平常的時候,MIS就要清楚了解每家資安廠商提供的服務內容以及要求提供服務環境的設定資料並且在需要的時候更新內容約定好的服務等級以及服務方式,當一個新計畫可能會牽涉到多方服務供應商的時候,MIS規劃如何整合各方力量共同合作,例如:召開共同會議讓大家了解各自的責任以及工作為何,或是討論各步驟的完整性,另外還要建立單一聯絡窗口以及方式,以確保協同合作的每一方隨時都能得到最新單來說,就是透過廠商管理以及專案管理來降低整合的困難度

 

 

 

結論:企業如何管理資安服務化

 

無論你是否喜歡這樣的轉變現在的趨勢的確是往資安服務化的方向來IT人員如何因應這樣的趨勢變化讓資訊安全體制持續向上提升而不是向下沉淪以下是幾點供讀者參考的方向

 

1.維護以及更新資訊環境的架構圖無論資訊環境的哪些架構發生改變,例如引進新的解決方案資訊流IT人員都要隨持更新,惟有保持最新最正確的資訊架構,才能在評估資安服務的時候做出正確決定

 

2.服務等級協定(Service Level Agreement)買資安服務,甚至任何的服務,在跟廠商簽訂雙方同意的服務品質是非常重要的,除廠商對客戶口頭應有的服務品質,企業還是需要白紙黑字的協議,以及萬一服務等級達不到的時候,廠商應有相對應合理的賠償

 

 3. 在選擇資安服務的時候,必須有計畫規劃選擇適合的服務方式,從剛剛第一點的資訊架構進行分析,思考如何分割或規劃資訊環境、哪資安工作可以放到遠端廠商哪些因為機密或者其他考量而必須放在公司內部處理,接著再去評估合適的服務方案,如果擔心服務所帶來的反效果,則應思考透過何種方式將壞處到最低 ,如:將機密資料環境切割隔離簽訂保密條約等 

 

4. 雖然買的是服務,不代表資安人員可以往椅背上一躺,輕輕鬆鬆放給服務廠商去作所有的事情,雖然有些資安作業不在公司內部進行,資安人員仍然要瞭解服務運作的方式特性細節,一旦發生緊急情況,或有新的需求出現時,資安人員才能做出正確判斷,找到對的廠商,進行對的任務,把資訊安全服務所帶來的正面效益發揮到最大。