資安設備不同於一般IT產品,隨著IT技術更迭、企業資訊架構改變,資安設備也需定期更新或是調校policy,因此,廠商所提供的售後服務也就益發重要,但是有太多企業無法接受買了軟硬體設備還要買服務的作法,只肯花錢買設備卻不願意採購資安服務,資安市場買方與賣方的認知差異,促使資安廠商的商業模式慢慢有所轉變,其所提供的服務,除了搭配軟硬體銷售外,也漸漸轉變為純資安服務。
資安產品服務化漸漸成形
最近幾年,越來越多IT廠商從銷售軟硬體往提供服務的方向發展,尤其在資訊安全領域裡,資安廠商轉變為「服務提供商」的趨勢越來越明顯,箇中原因很多,其中一個就是上述提及,企業無法認同買軟硬體又要買服務的方式,因此資安廠商乾脆改變商業模式,提供純資安服務。
第二個原因則是受到雲端運算(Cloud Computing)及軟體即服務(Software As A Service)盛行的影響,隨著公司資訊架構轉變,IT軟硬體設施不見得都在公司的管理環境或者機房內,某些部分已經完全由廠商去管理了,在選擇資安解決方案的時候,就得採用服務形式的資安解決方案。比如說企業交由廠商代管郵件服務,當自身不需設置管理郵件伺服器的時候,又如何購買並安裝傳統的資安軟體解決方案?企業資訊架構的轉變,讓資安廠商變成唯一有能力提供相關服務的一方。
最後一個原因是在競爭激烈的資訊市場上,只要有機會發展新業務,總會有人試著開拓市場,即便不是軟硬體的研發廠商,但只要有專業人員可以進行配置及管理,一樣有機會開發出一片天,資安領域牽涉到很多專業知識以及需要花很多時間去審核,這樣的特性讓廠商的代管服務有了很大的發展空間,客戶可以選擇要如何安排人力以及其他資源,服務供應商也可以專注於特定領域,提供更有經驗更專業的服務,並透過經濟規模(Economy of Scale)來降低服務成本。
企業資安跨出防火牆之外
根據近幾年我對企業資訊環境的觀察,資安作業從防火牆內(公司內部網路)移動到防火牆之外(資訊服務廠商),是最顯著的變化之一。
舉個例子來看,以前的郵件安全解決方案,不是將軟體裝在郵件伺服器上,就是直接在郵件伺服器前端擺設郵件安全硬體設備,達成防護郵件安全的目的,然而,現在有越來越多的廠商直接把郵件防護這一段擺到自家機房中,企業將郵件傳送的配置(MX record)導向廠商的服務點,本地端的郵件就只與廠商的服務交談。
再舉一個例子,入侵防禦/入侵偵測系統(IPS/IDS)開始蓬勃發展的時候,市場上的商業模式就是採購IPS/IDS 硬體或軟體,然後安裝使用。然而現在,越來越多第三方廠商直接幫你管理或監控系統,由廠商與資訊部門討論入侵偵測的架構以及執行方式,然後由廠商提供並配置設備,再請資訊部門人員微調設定後,交由廠商來監控,如果遇到特殊情況就通知客戶進行下一步的處理,平常情況則代替客戶進行一般監控,讓企業可以把時間以及資源花在更重要的事情上面。
目前,市場上可以看到很多資安服務化的產品,除了上述提到的郵件安全代管與入侵偵測系統(IPS)代管外,還有認證服務、程式碼開發安全稽核、安全設備代管(防火牆、VPN)、滲透測試(Penetration Test) 、程式補強管理(Patch Management) 、防毒管理等等, 幾乎舉得出來的資安課題,都有廠商提供相對應的代管服務。
資安服務化的兩面刃
然而,沒有什麼事情是絕對的正面或者絕對的負面,資安服務化也是一樣,有好就有壞,企業如果要把資安服務化的趨勢轉變成公司的利益,就必須深入了解其特性,才能把好的部分發揮到最大,把壞的部分盡量減輕或者避免。
首先來看資安服務化的好處,包括:
1.因應資訊環境其他環節服務化,資安服務化才能讓這樣的資訊環境與安全需求緊密結合,提供更適合的安全功能;
2. 集中企業資源專注發展核心價值,常聽人說,沒有必要為了喝牛奶而養一頭牛,資訊安全雖然屬於高度機密的作業,但這不代表企業不能將部分資訊安全的功能外包予廠商;
3. 符合企業的財務政策,以往購買軟硬體的作法,在會計科目上必須列為資產(assets)且要計算折舊(depreciation),但採購服務卻是屬於費用(expense)的一環,部分企業的財務策略傾向於後者,此點效益雖然跟資訊安全課題沒有直接關係,但站在經營者的角度來看,卻是必須納入考量的一點。
接下來則討論資訊服務化的壞處,包括:
1.增加資料外洩的風險,這部份與資訊安全功能的特性有關,如果該項資訊安全服務有可能要檢視公司的機密資料,企業就得考量機密資料外洩的風險 ;
2.購買資安服務與傳統購置軟硬體觀念不同,需要時間來增加接受度;
3. 另外,某些計畫需要兩個(或以上)廠商共同合作的時候, 就增加了整合的困難度,以我最近的經歷來看,公司需要將虛擬私有網路(VPN)結合雙重認證(two factor authentication) 來增加安全性,然而,這兩個部分分別交由不同的資安服務商來管理,因此,如何整合雙方資源完成設定,成為計畫的難度之一,不過如果管理得宜,這個倒不是什麼大問題。
至於企業該如何管理?首先在平常的時候,MIS就要清楚了解每家資安廠商提供的服務內容、以及要求提供服務環境的設定資料並且在需要的時候更新內容、約定好的服務等級、以及服務方式,當一個新計畫可能會牽涉到多方服務供應商的時候,MIS就得規劃如何整合各方力量共同合作,例如:召開共同會議,讓大家了解各自的責任以及工作為何,或是討論各步驟的完整性,另外還要建立單一聯絡窗口以及方式,以確保協同合作的每一方隨時都能得到最新狀況,簡單來說,就是透過廠商管理以及專案管理來降低整合的困難度。
結論:企業如何管理資安服務化
無論你是否喜歡這樣的轉變,現在的趨勢的確是往資安服務化的方向來走,IT人員要如何因應這樣的趨勢變化,讓資訊安全體制持續向上提升而不是向下沉淪?以下是幾點可供讀者參考的方向:
1.維護以及更新資訊環境的架構圖。無論資訊環境的哪些架構發生改變,例如引進新的解決方案、資訊流改變等,IT人員都要隨持更新,惟有保持最新最正確的資訊架構,才能在評估資安服務的時候做出正確決定 。
2.服務等級協定(Service Level Agreement)。買資安服務,甚至任何的服務,在跟廠商簽訂雙方同意的服務品質是非常重要的,除了廠商對客戶口頭承諾應有的服務品質,企業還是需要白紙黑字的協議,以及萬一服務等級達不到的時候,廠商應有相對應合理的賠償。
3. 在選擇資安服務的時候,必須有計畫地規劃並選擇適合的服務方式,從剛剛第一點的資訊架構圖進行分析,思考如何分割或規劃資訊環境、哪些資安工作可以放到遠端由廠商來做、哪些因為機密或者其他考量而必須放在公司內部處理,接著再去評估合適的服務方案,如果擔心服務所帶來的反效果,則應思考透過何種方式將壞處降到最低 ,如:將機密資料環境切割隔離、簽訂保密條約等 。
4. 雖然買的是服務,不代表資安人員可以往椅背上一躺,輕輕鬆鬆地放給服務廠商去作所有的事情,雖然有些資安作業不在公司內部進行,資安人員仍然要瞭解服務運作的方式、特性及細節,一旦發生緊急情況,或是有新的需求出現時,資安人員才能做出正確判斷,找到對的廠商,進行對的任務,並把資訊安全服務所帶來的正面效益發揮到最大。