SOC服務發展出單一產業資安監控能力

臺灣資安委外談了很多年，直到2005年終於有顯著的成長，幾家主要的供應商都小有收穫。目前市場主力還是集中在政府、高科技製造、電信與金融等少數產業。

根據業者的預期，企業在建置或導入資安監控中心後，由供應商提供資安設備與事件監控、資料蒐集及通報之外，建立單一產業或企業專屬的事件資料庫，進而發展出單一產業資安監控能力，將是企業接下來的新需求。

剛發表進階版資安監控中心服務，數聯資安技術處安全監控中心經理郭旭傑表示，服務供應商單一產業的客戶越多，除了降低服務單價，對建置SOC專業資料庫也大有幫助，大部分企業客戶在3個月的時間內就能建立專屬資安事件資料庫。

幾家SOC服務供應商中，宏碁eDC主要經營政府機關，IBM將重心放在金融業與高科技製造，數聯資安則以ISP角度切入，希望提升中小企業的需求，各家業者各有專攻，正有利於建立專業的單一產業資安監控服務。

資料蒐集與傳輸，安全性不容忽視
除了建立單一產業的資安監控能力之外、業者的資安服務重點也會有所轉移。臺灣組合國際安全技術顧問林宏嘉表示，所謂的資安監控中心，大部分服務供應商都將焦點放在單純的事件監控與資料蒐集，專注於現有設備與事件的紀錄與蒐集，多強調技術優勢或是標榜蒐集效率，或是提供關聯式的分析樣本下載。

隨著2年來企業與供應商的「第一次接觸」，將在今年由過往的摸索期與討論期，逐步進入技術落實的階段，預估很可能出現另一波建置高峰，但是服務重點將轉到提高事件蒐集的安全性，及提供未知事件的分析上面。

林宏嘉指出，以企業客戶多會感到困擾的資料蒐集Agent的安裝為例，以目前各家廠商技術，標榜蒐集速度就必須使用「Agnet-less」方式進行，缺點是這些記錄檔得透過明碼傳送，容易成為資料外洩的漏洞，透過一些常見的封包擷取工具，有心人士可以輕鬆蒐集並解讀。企業資訊主管在評估或規畫事件蒐集與部署方案時，將這些重要訊息加密是必須一併考量的重點之一。

企業必須建立自有未知事件分析資料庫
隨著資安監控中心的客戶增加，服務供應商必須從現有設備偵測出的資安事件基礎，像是病毒感染擴散、威脅入侵、防火牆管控等「基本功」，升級到未知事件的偵測與通報。林宏嘉進一步說明，既有的事件不見得足以反映所有現實中發生的資安問題，沒有事件發生並不代表夠安全，很可能只是沒被察覺，因為真正造成傷害的資安事件大多未能被現行機制發現。整體來說，未知與已知事件約占整體資安事件的1比5，其中以潛藏在HTTP等合法通訊協定中的滲透行為最多。

也就是說，就算供應商廠商強調已經提供「關聯式分析」，但他認為，企業建立網路行為鑑識、分析與側錄的機制相當重要，才能讓資安監控中心的機制更為完整，透過網路行為鑑識與分析來掌握未知事件與攻擊，結合已知事件的關聯式分析，更能加強資安監控中心的價值與效能。文⊙高雅欣