User的意識不足,造就了不重視資安的環境,也是台灣的病態資安產業通路源頭。一旦各自不能各司其職,界線混亂,則不僅是資安產業不振,資安服務品質也只會持續低落,屆時將會是一個雙輸的局面。
各司其職 理想的資安產業生態鏈
系統整合商,是最貼近使用單位需求的角色,他們是「最後一哩」。SI不僅可以使用產品來協助客戶解決問題,亦可依照需求替客戶客製化的搭配運用。好的SI不僅最了解使用者需求,也能夠為使用者尋求到最適當的解決方案,在使用產品與客製化之間,取得一個最佳平衡。
按照IT產業的發展,目前SI以提供的服務來分類的話,大致上可分作針對硬體與軟體,硬體又分作主機系統與網路,軟體則為應用程式開發。其中支援硬體設備的SI為大宗,數聯資安技術處滲透鑑識部經理陳宏昌說約佔八、九成左右。軟體開發的則約佔一、二成,資安專業SI更是少之又少,由於資安需要多元化的知識,進入門檻較高。
總公司位於新竹的創嘉科技為一電子公司,其網路產品處是負責系統整合的部門,總經理曾重堯也說,一般的SI並不太願意投入大量人力在資安上,原因是一般資安業務如果沒有三年、五年的專業培養是很難讓資安的user買單,因此專作資安產業SI可以說是屈指可數,絕大多數都是依附在SI賣硬體設備的資安部門底下。
通常,代理商扮演的是配銷貨以及二線的技術支援角色。在專案初期,許多基礎的安裝設定都是由對產品較為了解的代理商來完成。只是,一來台灣市場小,二來近年來經濟不景氣,利潤緊縮得厲害,代理商若僅僅只是配銷貨,相當難以生存。銘威國際資深顧問田振宇說,台灣市場太小,純代理商只做出貨很難生存下去,一個熱門產品那麼多人搶,還不見得代理的到,就算代理到的人也不見得有技術能量。雖然原廠應該擔負起三線服務和產品設計調整的能力。只是通常大原廠叫不動、小原廠又沒能量,這些工作還是得要代理商來做。
Formasa Auditor
研發技術長蔡銘桔也表示,台灣資安產業(不只資安,應該是整個資服產業都差不多)混亂的程度已經變成常態,專業的資安服務商恐怕是很難生存,畢竟服務靠的是人與專業,資安人事成本相對高,在削價競爭的市場裡,專業變得一點都不值錢。
逸盈科技 產品行銷處副總經理 王美芬 銘威國際 資深架構師 田振宇
高規格人力 高成本產業
過去,網路只講求通不通,沒有太多需要服務(人力成本)的地方,在90年那時也是景氣一片大好,企業都肯花大錢。曾重堯說,從2000年後資安開始受到重視,整個產業生態鍊也開始有所改變,但2003~2008年,景氣開始蕭條,台灣市場原本就小,現在又更競爭得不得了,因此開始出現畸形的產業生態鍊。
先談到資安服務大約有兩大重點:一是針對平時資安設備產出Log資料的分析,其二是針對資安緊急事件的應變處理。平常資安設備產出龐大的資料量,應該如何運用,找出有意義的資訊進行分析、解讀,避免資安事件的發生,以及當發生資安事件時該怎麼阻擋,避免事態擴大,持續強化資安。
專業的資安技術進入門檻高,人才培育並不容易,逸盈科技產品行銷處副總經理王美芬也提到,資安是一個高度客製化的產業,需要很多的服務。舉例來說,網路、資安設備每天產生的Log資料、報表數以萬計,使用者很難靠自己進行分析解讀的,因此多半會委外給資安廠商來服務,或是在發生緊急資安事件時的處理,多半也都必須仰賴廠商的協助。
過去有某政府單位的資安監控中心,一年僅有70、80萬元新台幣的預算,在成本、支出無法均衡的狀況下,駐點人力只能指派工讀生,一旦發生中毒或資安事件就將電腦重灌。此等荒謬作法,更別提什麼針對攻擊進行分析。然而SOC人力成本可以怎麼推算呢?
資安顧問陶靖霖舉例,SOC並不是只有駐點而已,假設一線OP工程師需7X24三班輪值不休假(3人),二線資安工程師擔任值班經理、事件處理、月報撰寫及客戶服務等(1人),三線資安專家進行更進一步的事件處理、分析(1人),更別提四線的系統工程師,負責維護SIEM、ticket system、開發、客製化、報表等(1人)。
通常,背後支援的系統工程師並不被列入SOC成本中,但研發、客製化或報表都是被遺忘的隱藏成本。即使不去計算第四線的系統工程師成本,若第一線OP人力不具備資安專業,只有略為涉獵幾種資安設備,假設一個月25,000元新台幣,還不包含員工福利等等,一、二線的人力一年需多少成本?若真的出了事情要做incident response,需要第三線的資安專家,但出事原因可以是PC中毒,可能被DDoS,也說不定是APT攻擊,誰可以同時懂這麼多?又能出得起多少錢?陶靖霖說,資安產業的勞務成本高,但專門人才稀少、培育不易,勞務營收比重卻很低。
不合理的利潤讓資安逐漸惡化
而不平衡的資安產業生態鍊,特別是在政府組織裡尤其明顯發酵。某些政府機關並不認同服務有價。自去年開始,政府採購開始採行單一價格標,然而資安產品每家品牌的功能不一定一致,無論進口、國產通通都放到單一標準下去衡量,當作一般的server、PC來買,高階的產品自然也都進不了這個平台。
近年來,在雲端運算、虛擬化的趨勢推動之下,使得許多IT建設都開始化零為整,尤其是政府單位。在政府經費降低,人員也計劃性的減少之下,組織的扁平化是一個趨勢。未來走向虛擬化,以IT環境來說,整體採購總金額是減少的,陳宏昌說,通常一個政府採購的案子裡,硬體採購就會佔掉將近一半以上的金額,剩下來的才是軟體服務的部份。
此外,與其他產業不太相同的是,政府標案可能在種種條件下,較沒有權利去選廠商,陳宏昌說,政府的需求並不一定能夠清楚羅列,一是擔心會有圖利廠商之嫌,二是可能預算不足,因此僅約略列舉規格。不過,規格越模糊,則對競標廠商與該使用者單位的風險都是越高。如果真的開標之後廠商專業不如預期,負責的承辦多半也只能再用一些其他名義來找預算,再找其他廠商進來協助服務。王美芬說,在一般企業裡較少會發現這種狀況,因為不僅承辦有較多權利選擇廠商,相對的也要扛起較多責任,所以至少也會在成交前,與支援的代理商,將各種責任、義務談清楚,所以相較之下資安品質也較不容易受到傷害
相較於一般PC採購的一年一標,網路與資安產品的採購幾乎都是不成文的三年保固合約,中間代理或配銷商的利潤就只剩下原本的1/3左右,這也是近年來不少代理商、經銷商也開始整併的原因之一。但於資安產業來說,攻擊手法威脅型態的變化,無論是對服務人員的品質、廠商所需要提供的技術,都必須具備一定的服務品質,為了因應最新的攻擊趨勢,資安硬體不只是硬體,背後代表的是許多的服務,例如特徵碼更新後mail都收不到怎麼辦?公文系統無法上線怎麼辦?責任要承辦來扛?所以叫廠商來更新,出事情也好趕快處理。而更由於相較於一般器業,政府單位IT技術人力的素質參差不齊,需要大量仰賴廠商,也因此廠商在資安產業方面所要投入支援人力,相較其他IT服務高出很多。政府產業,無論對代理商或SI也好,都是一個不得不做,又越做越痛苦的產業。
數聯資安 技術處滲透鑑識部經理 陳宏昌 創嘉科技 網路產品處總經理 曾重堯
病態的產業現況 代理商、SI角色混而為一
我們都知道,一個單位資安品質的高低與承辦人脫離不了關係。曾經有個user引用音樂人武雄老師的名言,來嘲諷自家公司的資安採購,開玩笑的說「只出得起香蕉的公司,當然只請得到猴子。」也因為專業門檻高,一些較有概念的承辦人,會針對資安需求獨立,與其他資訊委外案分開開標。無論是代理商還是SI來服務,無論他們是想透過關係還是有專業,說到底還是這個案子的承辦角色會決定很多結果。
以政府單位來說,最後得標的大型SI並不一定具有資安專業,因此比較有觀念的承辦,會在案中另行指定資安的部分,例如說資安事件緊急應變處理,就需要相當的專業,否則一旦真的發生資安事件仍舊處理不了。但是,在層層轉包下,常看到的狀況卻是,SI吃下整個案子,卻未將資安再繼續委外,吃下資安的錢卻未做資安工作,尤其資安服務所需的成本相對較高,這等於是賭上user的資安。
在使用者未列出明確規格的標案中,可能會造成已經開標、發包,可是裡面卻不包含資安事件應變服務,等到真的出事,SI才會想辦法從別的案子裡,再掏出錢來請專業廠商做,但可想而知,資安事件處理的時效性當然也會受到相當的影響。因此承辦在作委外管理的時候,應當特別注意到這段是否也確實被委外,別讓SI為了省錢,犧牲了該單位的資安品質。
相較於代理商通常只代理5~6種產品,較可集中資源投入人力經營、研究該產品,而SI的角色不同,面對企業所有資安需求,需服務的產品項目可多達10 ~20樣,不太可能樣樣精通。這兩者的角色之間雖有矛盾但仍須取得平衡。一旦SI不具備有足夠的資安專業時,也會造成使用者在後續的維護上,仍然倚賴代理商,並且僅僅只是販售「關係」,賺取過水費用。而代理商,變相的兼任SI角色,直接去支援使用者。長此以往,SI也就會被排除在外,成了一個專賺過水費用卻沒有專業的角色。
無論來自承辦的需求是「關係導向」還是「專業導向」,SI最在意的點就是「User有沒有被照顧到」,有時候,直接與使用者接觸的代理商,可能會將利潤最高或是已經投入資源、最熟悉的產品塞給使用者,卻不見得是最切合user需求的產品。對使用者來說這絕非是好事,某些肩負著業績壓力的代理商,很可能看好一項產品,投入資源在培育專業人才,但即使是市場上最多人使用,功能最齊全的產品,卻不一定最適合使用者,這是可能有的風險,因此應由最了解需求的SI來協助把關、調校,只是SI若在專業方面太弱,則無法勝任角色,變成使用者採購資安產品,卻不一定是真正的需求。
產業良性循環帶動者 從user做起
在如此競爭激烈的環境裡,廠商為求生存,把軟、硬體與服務綑綁起來賣的銷售模式已經根深蒂固,大家雖然都知道資安產業的生態鍊有問題,卻也無可奈何。
代理商與SI之間,應是一個長期的戰略合作,便會成為一個雙贏的局面,初期由代理商支援,之後的長期服務則由SI負責。而代理商則是與之相輔相成,負責配銷貨以及二線技術支援。
若真要說,有什麼能改,就只能是客戶端對於資安觀念的改變了,若有一天使用者端也能認為專業與價格應是對等,這樣專業服務才會有機會生存下去。身為整個產業供應鍊源頭的user,可以說是影響重大,在本篇的例子當中,由於使用者的角色沒有覺醒,更使得狀況惡化,雖然政府對於資安產業扶植抱持美意,但若能從自身觀念徹底做起、尊重服務有價,才能對整個產業起最大的示範作用。