https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

資安服務廠商5力分析 (五) 企業開講 資安服務使用經驗談

2012 / 02 / 02
編輯部
資安服務廠商5力分析 (五) 企業開講 資安服務使用經驗談
找成立夠久的資安團隊

(1)個資保護單靠一家資安廠商是無法做好的。(2)目前看不到一家廠商能懂所有資安技術,有時連proposal都不一定寫得出來。(3)有預算的企業可先找管理顧問公司先做consulting再找solution   ; 如果預算有限的中小企業,建議找成立夠久的資安團隊,畢竟經過這些年,還能經營下來的實力都算不錯。(4)不能光看公司成立時間,而應該深入看負責資安業務的部門成立時間。(5)廠商之專案經理(PM)應找有10年以上資安經驗的,比較知道如何找有能力配合的友商規劃出完整方案。

金融業資安人

保持服務彈性最重要

(1)選擇服務廠商業務/PM態度很重要,如果業務服務的好,即使業務離職也可能會跟著業務。(2)會希望Partner能保持彈性,例如幫忙調貨,因為政府採購評選很麻煩,有時漏掉一兩個品項又要另外開標非常費事,若能彈性服務就很重要。(3)其實資安產品功能差異不大,很多都要tune,所以也會特別重視廠商的支援人力是否充裕,會與多家廠商往來,視廠商人力現況、是否吃緊,決定給誰做。

JK

廠商的腦袋也需要換 別老是講產品
因為個資法的通過,資安單位正好可以趁此機會爭取預算,正是導入資安解決方案的時候,過去主管的觀念常常都是買工具來自己做才安全,可是其實現在我們也都願意接受「服務」的觀念,只是聽了很多研討會,很多廠商都還是在講「產品」,也許資安廠商的腦袋也該換一下。
製造業 Mark

所有需求都要載明在合約裡  愈清楚愈好
採購資安服務,合約內容訂得越清楚越好,User環境不同、所需要使用的資安服務也不一樣,因此,User必須把自身所需要的資安服務,清楚地載明在合約裡,一方面讓廠商可以估算合理成本與報價,一方面也能符合自身需求,以SOC委外合約來說,如果自身已經取得ISO 27001驗證,並希望資安廠商派過來的駐點工程師也要具備ISMS主導稽核員證書,在合約中就應該註明這一點,無論哪一種資安服務,都是需要成本的,所以在合約裡必須講清楚說明白,以免到時候廠商提供的服務不符合需求,白白浪費時間與金錢。
金融業 Mr. Yang

資安缺乏深層分析威脅的人才

資安缺乏有ERS解決經驗的人才,很多廠商多半都只是等到特徵碼出現才能發現是惡意行為,真正完整的需求是要可以透過Log交叉比對,主動分析跟追蹤,透過一些觀察找出未知的威脅,簡單來說,滲透測試、ERS的資安專業技術,應該是要能夠自己透過觀測就找出異常行為,而不是等設備通知異常。

銀行 陳經理

SOC成功的前置作業來自對環境的客製化
由於每家網路設備跟架構都不同,從擺放位置的不同就可能會造成Workflow前後的相依性不同,台灣的SOC廠商其實都做得不夠好,因為有客製化能力的人才實在太少,有些SIEM的解決方案並不支援一些本土的設備,彼此並不相容,又沒辦法客製化,變成無法統一管理,光是採用SIEM解決方案的預設值,等於是沒有用處。甚至有些MSSP服務,Log是傳到國外去分析的,例如香港,真正處理支援的人不在台灣,很難跟客戶溝通,也很難依照客戶的IT環境來給予建議。
電信業 LEE

ERS選擇最適合的 未必挑最好
以資安事件處理來說,因為有時效的壓力,要選擇有經驗的廠商,才能快速判斷出問題,在最短時間內解決,否則沒有抓到問題點,威脅是一直存在、資料也一直外洩。有時問題很複雜,需要找多家廠商一起來看,廠商各有優勢,有的從閘道前端、有的從內網或端點做惡意程式分析,必須彼此聯防。其實在選擇ERS的廠商,礙於時間、資源的限制,在當下只能選擇最適合的解法,也許未必是最好的。
電子商務IT主管

SOC委外 報告能力影響服務滿意度

在尋找SOC委外廠商時,廠商的專業能力和報告產出速度很重要,之前曾經遇過疑似駭客攻擊的現象,請廠商協助處理,但廠商卻沒辦法馬上找出原因,只能提出止血建議(也就是先中斷哪些服務),事後產出報告說明整起事件來龍去脈的速度又很慢,令人感到幫助不大,另外,弱點掃描或滲透測試廠商最好能夠交互輪替、成效較大,例如:今年給A廠商做、明年給B廠商做,又或者請A廠商做弱點掃描,弱點修補完畢後,再請B廠商進行滲透測試,因為VAPT都與執行者能力息息相關,最好能夠不同廠商交互輪替,才能看到不一樣的漏洞,提昇系統安全強度。

金融業 阿旺