資安服務廠商5力分析 (五) 企業開講 資安服務使用經驗談

(1)個資保護單靠一家資安廠商是無法做好的。(2)目前看不到一家廠商能懂所有資安技術，有時連proposal都不一定寫得出來。(3)有預算的企業可先找管理顧問公司先做consulting再找solution   ; 如果預算有限的中小企業，建議找成立夠久的資安團隊，畢竟經過這些年，還能經營下來的實力都算不錯。(4)不能光看公司成立時間，而應該深入看負責資安業務的部門成立時間。(5)廠商之專案經理(PM)應找有10年以上資安經驗的，比較知道如何找有能力配合的友商規劃出完整方案。

(1)選擇服務廠商業務/PM態度很重要，如果業務服務的好，即使業務離職也可能會跟著業務。(2)會希望Partner能保持彈性，例如幫忙調貨，因為政府採購評選很麻煩，有時漏掉一兩個品項又要另外開標非常費事，若能彈性服務就很重要。(3)其實資安產品功能差異不大，很多都要tune，所以也會特別重視廠商的支援人力是否充裕，會與多家廠商往來，視廠商人力現況、是否吃緊，決定給誰做。

資安缺乏有ERS解決經驗的人才，很多廠商多半都只是等到特徵碼出現才能發現是惡意行為，真正完整的需求是要可以透過Log交叉比對，主動分析跟追蹤，透過一些觀察找出未知的威脅，簡單來說，滲透測試、ERS的資安專業技術，應該是要能夠自己透過觀測就找出異常行為，而不是等設備通知異常。

在尋找SOC委外廠商時，廠商的專業能力和報告產出速度很重要，之前曾經遇過疑似駭客攻擊的現象，請廠商協助處理，但廠商卻沒辦法馬上找出原因，只能提出止血建議（也就是先中斷哪些服務），事後產出報告說明整起事件來龍去脈的速度又很慢，令人感到幫助不大，另外，弱點掃描或滲透測試廠商最好能夠交互輪替、成效較大，例如：今年給A廠商做、明年給B廠商做，又或者請A廠商做弱點掃描，弱點修補完畢後，再請B廠商進行滲透測試，因為VA與PT都與執行者能力息息相關，最好能夠不同廠商交互輪替，才能看到不一樣的漏洞，提昇系統安全強度。