(1)個資保護單靠一家資安廠商是無法做好的。(2)目前看不到一家廠商能懂所有資安技術,有時連proposal都不一定寫得出來。(3)有預算的企業可先找管理顧問公司先做consulting再找solution ; 如果預算有限的中小企業,建議找成立夠久的資安團隊,畢竟經過這些年,還能經營下來的實力都算不錯。(4)不能光看公司成立時間,而應該深入看負責資安業務的部門成立時間。(5)廠商之專案經理(PM)應找有10年以上資安經驗的,比較知道如何找有能力配合的友商規劃出完整方案。
(1)選擇服務廠商業務/PM態度很重要,如果業務服務的好,即使業務離職也可能會跟著業務。(2)會希望Partner能保持彈性,例如幫忙調貨,因為政府採購評選很麻煩,有時漏掉一兩個品項又要另外開標非常費事,若能彈性服務就很重要。(3)其實資安產品功能差異不大,很多都要tune,所以也會特別重視廠商的支援人力是否充裕,會與多家廠商往來,視廠商人力現況、是否吃緊,決定給誰做。
資安缺乏有ERS解決經驗的人才,很多廠商多半都只是等到特徵碼出現才能發現是惡意行為,真正完整的需求是要可以透過Log交叉比對,主動分析跟追蹤,透過一些觀察找出未知的威脅,簡單來說,滲透測試、ERS的資安專業技術,應該是要能夠自己透過觀測就找出異常行為,而不是等設備通知異常。
在尋找SOC委外廠商時,廠商的專業能力和報告產出速度很重要,之前曾經遇過疑似駭客攻擊的現象,請廠商協助處理,但廠商卻沒辦法馬上找出原因,只能提出止血建議(也就是先中斷哪些服務),事後產出報告說明整起事件來龍去脈的速度又很慢,令人感到幫助不大,另外,弱點掃描或滲透測試廠商最好能夠交互輪替、成效較大,例如:今年給A廠商做、明年給B廠商做,又或者請A廠商做弱點掃描,弱點修補完畢後,再請B廠商進行滲透測試,因為VA與PT都與執行者能力息息相關,最好能夠不同廠商交互輪替,才能看到不一樣的漏洞,提昇系統安全強度。
資安人科技網