安全委外服務直擣亞洲地區

由於惡意程式碼的肆虐，資訊安全議題突然紅了起來，軟硬體解決方案、專業諮詢服務、安全認證等產品如雨後春筍般出現，標榜協助企業降低成本的安全委外中心（Security Operation Center，簡稱SOC）也不免來湊一腳。然而，雖然號稱提供安全委外管理服務，但其安全性仍讓企業為之卻步。安全委外大勢所趨

網路設備商或是網路安全廠商紛紛投入更多的研發經費，甚至直接併購提供安全技術的公司，增加本身的產品線和服務範圍，投入競食資安大餅的行列。然而，有產品還不夠，要能解讀來自各項產品收集到的訊息，並且做出正確的防禦措施，才是做完整套安全防禦的工作。

然而，從Ninda或Code Red等多起混合式病毒成功癱瘓全球網路的程度來看，多數企業採用的資訊安全設備或解決方案並不能抵禦新一代病蟲（worm）的擴散和攻擊，即使大型企業也難逃駭客灑下的大網，至今損失已難以估計。

根據賽門鐵克安全機制應變中心的調查，有26％的企業仍未安裝防毒軟體，以賽門鐵克發展部資深總監Vincent Weafer的觀察，多數企業知道資訊安全的重要，但其既有的資安系統並未立即更新，或是未主動下載IT廠商發布的修補程式，而遭受一波一波的駭客攻擊。「客戶需要資訊安全廠商提供的預警服務，否則只能被動接受駭客的突擊。」

根據統計，41％比例的MIS人員每天要花至少2小時處理安全問題，安全管理事務成為日常工作一部分，而資訊安全系統越複雜，要收集、處理和分析的log資料量越龐大，若將這部分的工作委外，產品或設備的升級更新或規畫分析工作都交給服務廠商，既可節省人力的投入，未來資訊安全潛在風險交由第三方來承擔，SOC的商機即在此。大廠進駐日本澳洲，搶亞洲市場灘頭堡

安全委外觀念源自於歐美地區，過去曾經有純提供安全委外服務的公司掛牌上市，市場走向大者恆大的局面。資訊安全廠商賽門鐵克在近兩年內陸續併購Recourse、Riptech以及SecurityFocus等公司，加上既有的防毒技術，提供中大型企業安全委外相關服務。

賽門鐵克分布於全球的SOC共有6座，美國有2座、英國1座、德國1座、日本1座，澳洲雪梨的SOC於今年3月成立，目前規模比較小，明年將擴增，將服務整個亞洲（除了日本之外）市場。其中日本的SOC是由賽門鐵克和三菱合資共同成立，主要鎖定中大型企業市場。

至於臺灣或中國是否會另外成立SOC服務據點，賽門鐵克行銷經理許淑菁說，目前尚未看到SOC在臺灣的發展潛力，企業多半傾向管理自有的設備，而且安全相關預算佔的比例不高。「雖然有意願，但是聽到還要多花一筆服務的費用，他們還是寧願自己管，市場還未成熟。」賽門鐵克臺灣傾向和伙伴或ISP合作，由合作伙伴提供小規模的委外服務，合作對象正在洽談中。

另外，入侵偵測技術廠商ISS也在日本成立一座SOC，美國有2座、南美1座、歐洲2座，ISS臺灣代理商鈺松亦有提供SOC服務，目前代管了30到40個網路安全設備，行業別涵蓋製造業和政府單位等，代管的產品以ISS解決方案為主。

ISS和其他廠商強調能支援每個廠商的產品策略迥異，賽門鐵克安全管理服務營運經理Gavin Lowth說，賽門鐵克的MSS（managed security service）不只監控自己公司的產品，也能代管其他競爭廠商的解決方案。對此鈺松表示，支援多家廠商的產品不是技術上的問題，每個產品介面和功能不盡相同，若要符合客戶端複雜的安全系統需求，可能不符合成本效益。臺灣對安全委外觀念和認知不足

對賽門鐵克或ISS等資安大廠來說，SOC提供客戶端的高附加價值服務的收入比例僅佔小部分，絕大部分還是來自產品或解決方案，但對立駭來說，安全委外服務業務所得則是主要的收入來源。立駭業務行銷處經理曾文德表示，臺灣市場對於委外的觀念和認知仍相當不足，缺乏相關的法令等環境面配套措施，SOC業務推動起來仍相當辛苦。

「前一陣子許多廠商說要做SOC，實際執行後才知道其中困難的地方，現在市場上沒剩下幾家。」曾文德說，經營SOC除了要足夠的資本，安全專業人才難找、客戶端要求複雜等會面臨的阻礙。「我們的報表格式就有三種以上，為因應不同客戶端的要求。外商的解決方式是沒有辦法做到如此徹底的客製化服務的。」

曾文德認為，如果SOC要在臺灣做起來，當務之急是要制訂服務等級協議（Service Level Agreement，SLA）、建立相關法令的保護和仲裁單位、培養更多專業人員等措施並行。「SOC不是坐在監控設備前就好，假設系統真的遭到破壞，還要提供客戶隨傳即到的服務，晚一點都不行。人還是最重要的因素。」應制訂法令和契約保障買賣雙方

政府相關單位應擬定法令保障SOC買賣雙方的權利和義務，曾文德強調，就和保險一樣，相關條款訂得越清楚，對買賣雙方越有保障。由於環境的關係，立駭必須大幅降低營運成本，做好專案控管，並利用客製化服務系統，提升客戶服務效率和品質。「在業界建立好口碑，等到大環境成熟，機會自然會跟著來。」

鈺松和立駭提供的SOC都是鎖定中小企業，但是為數最多的中小企業採用新技術的速度是最慢的一群，要把公司的安全設備交給廠商管，可能比登天還難。現階段SOC廠商多把希望放在政府標案，或金控集團的委外專案機會。 多數政府標案已經在規格書上列入採用委外方案的項目，給予SOC廠商一線生機。不過，根據業者的說法，政府專案通常只能填飽肚子，甚至要賠錢接案子，是不可能從中獲取利潤的。

不過，若從協助政府導入SOC，或提供政府相關單位安全委外服務的過程中，擬定SLA和相關法令，從政府開始做起，只要取得政府信任，相信民間企業也會慢慢看到委外的好處，開始考慮將企業的資訊安全委外。