觀點

評估MSSP服務4大關鍵 用委外強化資安防禦能量

2013 / 04 / 11
謝侑玲
評估MSSP服務4大關鍵  用委外強化資安防禦能量

不可否認,資訊安全之於企業的永續經營,已有密不可分的關聯性,但對於絕大多數企業而言,資安管理畢竟不是核心事業的一環,實在不可能為了此項非關鍵業務,漫無止盡地挹注大量投資;偏偏資安威脅愈來愈詭譎刁鑽,必須遵循的法令規章又不斷增多,企業何以應付這些艱鉅挑戰?資訊安全代管服務(Managed Security Services Provider;MSSP)或許是可以考慮的解決之道。

廣義來說,資訊安全代管服務涵蓋眾多模式,舉凡滲透測試、弱點掃描、設備代管、設備維護、系統調校與設定、日誌監控分析,乃至於定期產出管理報表,因此企業用戶可根據實際需求,搭配採用客製化的解決方案組合,分析出自身的安全弱點,並加以補強。

再者,不論是外在環境波動,抑或由新設備、新業務或新流程所觸發的內部環境變革,都難免引發資安管理需求的變異,必需要有完善防護工具、豐富的專業技能與充裕管理人力,方能快速反應與解決問題;凡此種種,一般企業顯然力有未逮,倘若擁有一個可長期信賴的服務窗口,由專業人員協助打理這一切,除了有助於減輕管理重擔、化解機密外洩風險,亦可將龐大資本支出轉為定期分攤的租賃費用、降低維運成本,順勢紓緩財務壓力,堪稱一舉數得。

目前台灣市場上,金融業、零售業、製造業以及政府單位對MSSP的服務採用度較高,金融業採用情形通常是資安服務(例如弱點掃描)與設備代管服務,而許多製造業中小型企業及政府單位則是在IT建置採買同時,就將MSSP服務納入考量,服務內容以定期巡檢等為主。

但問題來了,打著MSSP旗號的業者不在少數,有的具備單一或少數領域的資安產品供應實力,有的則由系統整合業務起家,出身背景不盡相同,面對形形色色的選項,企業如何做出正確抉擇?

 

參考案例多寡 為關鍵評估要素

事實上,要篩選出真正優質合宜的MSSP,有不少評估要素,其中最為關鍵的項目,即是參考案例(Case Reference),如果案例愈多,意謂該業者所需管理的設備與日誌數量愈大,有關日誌調閱分析、問題處理的經驗,也必定更加豐富,正所謂熟能生巧,管理能力也就益發成熟、進步。

其次的觀察重點則是專業實力,但這很難透過量化數據加以判定,企業不妨換個方式,從資安監控中心(Security Operation Center;SOC)人員的平均年資開始檢視。

不可諱言,監控工作領域的相關人才流動率偏高,如果MSSP願意在SOC投資完善人才培育計畫,且人員資歷普遍不短,就代表該業者的技術能量相對深厚。當然,現在的人才素質,並不等於長期的人才素質,所以企業亦應檢驗其「留才」誘因是否足夠,像是福利、工作環境、人員流動率、人員培訓制度…等。

舉例來說,假設該業者設有資安實驗室,隨時蒐集與剖析全球資安事件,甚至培養一群專家團體(例如道德駭客),持續在內部觸動技術交流,如此一來,藉由教學相長氛圍滿足SOC人員求知慾望,有利於降低人員異動機率。

 

第三個觀察重點是服務品質。真正有能力、有經驗的MSSP,往往會透過有效率的溝通與呈現方式,交付出真正對客戶有意義的報表內容,否則,企業若花錢委託MSSP代為分析日誌,結果還是只能獲取一疊厚厚的Raw Data,而非去蕪存菁的關鍵資訊,這般服務,豈有任何價值或助益?

最後則是MSSP基礎設施的安全性。以個資法為例,日誌資料的證據效力,乃是建立在不可否認性,不容存在一絲一毫可被竄改的風險,試想MSSP的日誌儲存環境中,若沒有任何加密機制,光是「不可否認性」這道基本防線就已破功,怎能冀望其提供更進階的安全管理服務?為了避免此一缺憾,企業務必事先定義嚴謹的Check List,並且仔細稽核MSSP的管理架構,即使實體架構沒問題,亦須與之簽署嚴格的保密協議。

MSSP服務4大評估因素:
1. 參考案例(Case Reference)的數量多寡與產業別;
2. 從SOC人員年資與留才誘因推論專業實力;
3. 服務品質;
4. 基礎設施安全性。



交由MSSP接管 企業即可撒手不理?

企業在與委外廠商簽訂服務水準協定(SLA)以協助資安維運之際,應考量當企業內部發生資安事故或者維運異常時,對委外廠商進行通報、處理解決的時效期待,以及合理的罰則制度。若定義多項服務水準,則可考慮用單項扣點或加分方式,讓整體協議不會只因為違反其中一項SLA就導致合約終止或失效;罰金方面,則建議以專案總價百分比進行規劃,倘若罰金制度不合理,反造成委外廠商的風險值提升,導致整體專案金額被高估。

但是有若干企業,總認為挑選到值得信賴的MSSP,訂完服務水準協定(SLA),此後即能心無旁騖地衝刺核心本業,任何攸關資安管理的事宜,大可安枕無憂、撒手不理;殊不知,這般心態實有商確之必要性。

第一,即使企業委由MSSP代管設備與日誌,這些東西的所有權,仍舊歸屬於企業,如果企業網路中斷卻渾然不覺,造成日誌送不出去,或導致SOC人員無法從遠端監看設備狀態,經MSSP立即通知、卻仍置之不理,此事到底誰對誰錯?

企業絕對有義務正常維運其網路,盡力確保IT環境的可用性;惟萬一有任何突發狀況,可能導致彼此權責分界難以釐清,不妨在事前透過合約白紙黑字,凡事說清楚、講明白,盡可能不要徒留爭端。

第二,企業應化被動為主動,與MSSP維持相互合作關係,而不是一味坐等報表或事件通報的到來。

曾有一位MSSP服務人員說得好,服務供應商畢竟是「末稍神經」,當有任何事故來襲,或許只會覺得冷,但此時身處前線的用戶端,可能早已大失血了;試想,企業資安或基礎架構的管理者,如果及早發現「彷彿有一絲絲異狀」,便主動回饋給MSSP,並商討是否隨即調整服務內容,最終怎會釀成嚴重失血狀況?要知道,專案合作的雙方,若有一方總是不聞不問,遇到事情卻無即時回饋,這樣的運作模式,想當然爾無法成功。

此外,依據新版個資法企業對委外廠商應負起監督責任,建議可考量採用週期性稽核方式,至委外廠商資訊中心或者維運操作地點,檢視其日常作業是否符合標準作業程序或規範,再根據稽核缺失數量或者改善期限來訂定量化的服務水準;同樣地,也可以考慮扣點或加分方式,當累積到一定數量時,就要求罰款或者服務終止、更換廠商。

無可避免,企業與MSSP締結姻緣之初,肯定需要一段磨合期,有賴雙方努力求得高度共識,以便將SLA制訂得更為合理,才能營造主顧雙贏的良好關係。

 

本文作者現為台灣IBM全球資訊科技服務事業部管理顧問。如您對本文有任何想法,歡迎來信交流:isnews@newera.messefrankfurt.com