提供資安風險分析評估與代管需求
幾乎各家服務供應商都會建立SOC來蒐集各地資訊安全事件和警訊的資料,包括客戶端資訊設備所接收到的資安事件或攻擊等log紀錄也全數匯整集中在SOC,再分析這些蒐集到的龐大資訊,即時監控整體資安情勢與個別企業用戶的安全現狀,進一步以電子郵件、手機簡訊等管道提供即時通報訊息或詳細分析報告,讓企業用戶可作為及時因應以及資訊安全政策規劃時的參考指標。
各家服務供應商SOC所提供的分析數據與警告∕警示,則依照其所蒐集到不同數量、區域等條件而有所差異,另外,企業用戶可留意的是,選擇接收資訊的時間及方式是否多元且彈性,讓企業可依照自己的特殊需求選擇(例如須每隔一小時接收即時回報、警示通知僅限於白天上班時間接收等)。
不過,遠傳電信企業暨國際事業處協理陳建榮建議,如果對於接收資安警示通報訊息的時間或管道等設定太多規則與設限,較可能無法達到及時通知的效果,因而提高資安風險,「我們會建議客戶採用最合適的資訊接收設定值,比較能達到及時通知、因應與資安防護的效果。」
ISP端所建造的資安城牆
在資訊安全委外服務當中,最普遍也最多選擇的服務來自於網路服務供應商(ISP)端替企業用戶把關的資安控管機制,諸如垃圾郵件防護、入侵防禦(IPS)、企業網站弱點分析、企業內部系統與網路設備弱點掃描、滲透測試、過濾網路流量、以及DDoS進階防護等,其中依照資訊安全等級以及客戶需求不同,可以單一服務作為採購標的。
值得一提的是,DDoS防護機制可說是最適合由ISP端提供的資安委外服務,原因在於,當企業遭遇DDoS攻擊時,也就是網路頻寬全數遭到攻擊而導致癱瘓的狀態,企業本身根本難以阻擋與排解DDoS攻擊,中華電信數據通信分公司副總經理鍾福貴即表示:「企業自行阻擋DDoS攻擊不僅耗網路頻寬,效果也不佳,企業可能必須花更多的網路頻寬來因應DDoS攻擊的可能,但如果在ISP端就進行DDoS阻擋防護,企業即不需擔心自己的網路頻寬因為受到DDoS攻擊而導致癱瘓,進而無法提供企業內外網路服務。」
深入企業端的資安防護機制
除了從ISP端直接過濾網路流量以及阻擋網路攻擊之外,服務供應商也提供資安防護設備以及資安人力團隊,幫企業內部做到資訊安全保護的需求。目前最常見的方式包括提供企業UTM設備以滿足如防毒、入侵偵測、防火牆(Firewall)等資安基本需求,且提供資安團隊協助企業從安裝、設定到設備維護等所有管理人力,換句話說,當企業用戶採用資安委外服務時,包括實體設備、管理人力等都毋需自行建置與維護,也不用擔必須另外招募資安團隊來營運資安防護機制,一切都以設備租賃、人力派遣方式完成。
CPCNet台灣區總經理朱哲生同時建議企業用戶,UTM設備不僅須要安裝在企業向外連接網際網路(Internet)的端口,在企業內網的部份,也應依照不同資訊安全層級∕部門等切割網路區域並建置UTM來達到更多層次的資安保護,「尤其是多據點、跨國的企業用戶,即應該在各個不同據點資訊系統的前端建置UTM,再針對使用者進行不同的存取使用授權設定,即可強化內部員工存取資訊時所需的安全性考量。」
企業應掌握的評估要點
在了解目前市場上企業可選擇的資安委外服務有哪些之後,接下來便是企業在評估時應該掌握與了解的關鍵。
首先,當然是採購最基本也最常見的考量:價格。不過,目前由於資訊安全委外服務市場正在起步階段,各家ISP業者競爭激烈,彼此之間在提供資安委外方案時也會互相參考比較,價格落差並沒有太大的起伏。因此,若當價格是企業所能接受的範圍時,接下來要考慮的,則是服務供應商所能提供的服務水準以及可靠性,也就是說,今天選擇該家服務供應商的資安委外服務,該供應商能幫企業做到哪些事情、可達到什麼樣的程度,這些可達到的效果是否為企業所需要的,還有最重要的「信任」問題。
香港商第一線大中華區高級產品經理陳賢曦表示,若企業行有餘力,可針對市場上各家資安防護產品功能與特色進行初步了解,選擇資安委外服務供應商時即可從該供應商所採用的產品與解決方案為何作為選擇與考量的要點之一,「而如果企業用戶無法事先完整了解這些內容,建議可以從服務供應商的背景來選擇。」換言之,也就是企業用戶對於該服務供應商是否可靠、以及該服務供應商的優勢與強項是否滿足企業的需求(如須提供跨國據點資安委外服務),畢竟資訊安全所涵蓋的面向至廣至深,若企業用戶無法信任服務供應商,也難以採用其所提供的各項服務。
最後是與服務供應商之間的溝通以及建立正確資訊安全認知與觀念。企業必須要了解的是,自己在資訊安全環節上到底需要哪些防護措施、必須做到什麼樣的保護程度,並且最重要的是,要了解即使採用資安服務,也不代表從此可以不聞不問、高枕無憂,資訊安全必須由內而外、從系統機器設備到人員管理,每個環節都須仰賴企業本身以及服務供應商共同防護,才可能達到最好的效果。
台灣大電訊產品管理處處長謝曉琳即表示:「購買資安委外服務並無法保證企業的資訊安全從此毫無疑慮。事實上,即使是以自建的方式部署資安也是一樣,並沒有百分之百有效防護的資安解決方案。」舉例來說,服務供應商提供其所偵測到的資安危機警報、或分析報表給企業用戶參考,但是否依據其資訊改變資安政策的決定權,仍是在企業本身,這就像做了精密的全身健康檢查,拿到健檢報告以後,看不看醫生,仍然操之在己的情況是一樣的,如果企業認為當下接收到的資安警示並不構成威脅,而不做任何變動,該警示仍有可能在未來成為資安漏洞。
換句話說,資訊安全防護不僅僅只交給IT人員和機器設備來完成即可,更重要的是企業主管的觀念與態度,進而影響企業文化與政策,許多意想不到的資安漏洞,其實都來自於平常內部最輕忽的地方,企業不可不謹慎以對。
接下來我們分別從各家服務供應商各自有哪些資訊安全服務方案、優勢特色,以及市場策略分別為何進行探討,讓企業在選擇採購時更能掌握要點,選擇合適的資安委外服務。(更多精彩文章詳見網管人第58期﹚