SOC監控範圍功能 隨市場需求擴大

SOC亦可說是資安事故管理中心，一般會由資安人員（People）、管控系統平台（Product）、管控程序（Process），三者加以整合而成。其中的系統平台即為資安事件管理平台（Security Information and Event Management，SEIM），通常會具備事件偵測、事件收集、知識庫、事件分析、回應與通報等基本功能。

企業自行建置與委外監控比較

資安管理服務興起

所謂SIEM平台是依據管控程序需求來設計，經過收集（Collect）網路設備、安全設備、應用系統等等各種不同來源資料格式的日誌檔（Log），儲存後經過格式轉換及正規化處理，再進入到關聯規則分析（Analyze），由系統及時分析事件，同時由專業資安人員加以監控活動事件是否為異常行為，來掌握企業內部或外部的資安威脅。

然而欲建造一套SIEM平台，所需投入的時間、資源及人力成本，即使是大型企業也望之卻步，更何況是一般沒有那麼多預算建置資訊安全管理的中小型企業，自建SIEM如此龐大的管理平台根本不敷成本效益。於是早在幾年前就開始有資安管理服務供應商（Managed Security Service Provider，MSSP），像是中華電信SOC監控中心、宏電子化資訊管理中心（Acer e-Enabling Data Center，Acer eDC）、數聯資安SOC資訊安全監控中心等等服務提供者，各自興建了全套SIEM系統，以及所屬的專業資安團隊，為企業用戶提供委外服務。

駭客攻擊SOC服務加溫

至於SOC監控服務可提供的範圍，宏電子化巨架構服務事業單位產品企劃部資深經理郭孟鈞說明，一開始都是以網路行為為主，但駭客越來越聰明，手法不斷翻新，只看網路封包內容已不足以辨識出是否為惡意行為，自然會日漸演進到應用系統與資料庫層。

中華電信數據通信分公司資訊處科長謝東明即觀察，近年來資安威脅程度日漸加劇，大型企業及政府機關已逐漸有所警覺，並著手部署諸如防毒軟體、垃圾郵件防堵、防火牆、入侵偵測／防護、UTM等資安防禦措施，同時聘雇具有資安背景的人員進行管理及監控。但是企業面對資安防禦設備持續產生的大量安全事件記錄，實在很難快速且精確地判斷當下是否正遭受資安事件威脅，也不確定目前的防禦措施是否足夠，因此，委由資安管理服務供應商以遠端監控方式，提供早期預警、資安設備管理、弱點掃描、入侵偵測、資安政策調校，及資安事件監控與通報等服務的需求愈趨提高。同時，為了因應個資法正式上路，包括個資外洩防護（DLP）、帳號安全及權限管理等資料存取控管，以及資料存取日誌和稽核管理服務，亦成為企業尋求資訊安全委外服務的重要一環。

數聯資安產品行銷部經理蔡政霖也發現，近幾年盛行的APT（Advanced Persistent Threat）導致資料外洩等事件日益嚴重，促使在監控標的物方面亦產生變化，近來時常被詢問的反而是資料庫活動監視（Database Activity Monitoring，DAM）、網頁應用防火牆（Web Application Firewall，WAF）、網路存取控制（Network Access Control，NAC）等服務，因此SIEM平台功能也會因應需求增加項目。此外，現在的企業用戶也不像過去只希望可協助監看各類型資訊安全事件，還進一步希望SOC也能有NOC（Network Operation Center）的服務，亦可說是近年來較大的變化。

維運穩定性是評估重點

中小企業的資金與人才本來就不多，且資安專業人才培養不易，因此將資安工作委由專業的服務供應商進行管理，企業不但可專注於核心事業，節省開銷之餘也能提高資安防護效果，實為事半功倍的方式。

▲SOC監控服務架構。

對此謝東明提醒，由於資安防護無法做到100%，且不可能一開始就面面俱到，因此必須先自我評估最需保護之標的為何？最主要的需求為何？同時考量自己的預算及所能承擔之風險，逐步擴建企業內部的資安防禦部署。由於資安委外服務是一項長期互相配合的工作，因此選擇資訊安全委外服務供應商時應進行全面性的評估考量。

郭孟鈞亦認為，資訊安全沒有退路可言，既然開始了，就不會有結束的一天。如同ISO27001標準強調的PDCA（Plan-Do-Check-Act）方法論，是一個不斷循環、持續改善的程序，因此資訊安全委外必須建立長期性的關係，而SOC服務團隊是否具一致性、運作是否夠成熟，皆會直接影響企業管控資訊安全的程度，不可不慎。