在所有受訪者當中,有4成回答單位內有採用委外代管(MSS, Managed Security Service)或資安監控服務SOC。其中以政府部門最多,有採用MSS或SOC服務者佔所有政府受訪者近7成(圖1)。由於國家資通安全會報曾要求A級單位必須導入SOC監控服務,因此政府單位的採用比例才會遠高於其他產業。
人力充裕的團隊
在回答對於採用MSS或SOC服務時優先考量條件為何,專業技術能力、專案品質控管(履約能力)與具備類似專案經驗及客戶實績等三項票數最高(圖2)。除了上述三項之外,人力充足,也是許多單位認為選擇委外服務廠商重要的條件之一。
由於資安監控服務的提供,多半需要廠商有足夠的人力來提供5×8 或7×24的服務,因此支援團隊人力充足成為重要的評估項目。許多受訪者指出,他們推薦的SOC廠商是因為有專門資安技術經理與團隊,人力調派支援速度夠快等。
合約夠清楚 才有好的專案品質
此外,專案品質控管(履約能力)也被認為很重要,但這會與當初合約條文訂定是否夠清楚有關。有政府單位資訊主管談到,經過這幾年下來,終於從經驗中摸索出,與SOC廠商制定合約的關鍵重點:要將服務項目清楚載明在合約裡。如此廠商才能估算投標合理的成本,確保能提供好的專案品質。例如,SOC需要監控許多不同的資安設備,有時異常事件不是一/二線人員可以解決,這時就要請原廠出面。如果合約沒有載明此需求,很可能問題就會一直擱在那裡,SOC廠商也不會去找原廠協助,因為請原廠就要開CASE要另外花錢。同時監控設備中有需要買保固服務的也要列清楚。
對金融單位而言,特別重視事件處理的結果與後續提供分析報告的時效性。有金融單位資安主管不滿,先前有疑似遭到攻擊,但SOC廠商在第一時間無法馬上說明原因只能說先斷掉哪些服務(止血),且在後續報告的提供上也非常慢。一名電信業資安人員就說,等到發現可疑事件的時候才來處理,這只能算是第二線工程師的trouble shooting工作而已,國內迫切需要專業SOC三線人才,可以針對Log交叉分析比對、及早追蹤出惡意威脅蹤跡,也就是透過經驗與專業能力判斷出未知威脅的能力。
資安工作的確是需要與時間賽跑。看是駭客攻的快,或是廠商回防的快。有受訪者提到,資安服務廠商能主動發佈資安警示訊息,對資安人員的幫助很大。