文/廠商新聞稿 | 2020-02-19發表

2019 年的資料外洩事態更嚴重了!在 2019 年 9 月底前全球就已經有 5,183 個漏洞、79 億筆紀錄外洩的報告。與 2018 年同期相較,2019 年第三季的漏洞總數增加了 33.3%,而紀錄外洩的總數則成長一倍以上,達 112%1

這突顯了一個現象:面對防護網路攻擊這個領域,企業或組織還有很多要努力的地方。因此,在邁向 2020 年之際,組織中擔負此一重責大任的安全維運中心 (SOC) 該做哪些事情才能對抗網路罪犯,保護組織的重要資產?要如何才能做好萬全準備以克服各種維運上的挑戰?

鑑往:2019 的挑戰

了解問題才能解決問題。根據 Micro Focus 最新的《2019 安全維運最新狀況》報告,在調查全球六大洲共 33 個國家的 150 個獨立 SOC 單位時,他們表達了在人才、預算、流程、技術和任務等五個層面上必須解決的問題 (如圖一)。同時,從這項調查中,我們也發現了安全維運團隊可在 2020 年藉以參考運用的最佳實務,以及表現優異的 SOC 所具備的一些共同特色。

Micro Focus 安全情報與維運諮詢 (SIOC) 部門在 2019 調查中所發現的五大趨勢

  • 多元人才與培訓

缺乏熟練的安全專業人員已是整個產業的趨勢,不少受訪企業反映其他機構都在搶要他們自己所培養的安全專家。而依據我們的經驗,要實現成熟、高效的 SOC,需要配置足夠的熟練人員才能快速處理大量事件,因此我們建議除了要有適當的教育訓練之外,在人才背景上也最好儘量多元化,如聘請有資料庫管理或應用程式開發經驗者。如此一來可讓 SOC 團隊具備多元的觀點和廣泛的技能與經驗,同時還能藉此接觸到更多的不同人才。

  • 展現安全維運投資對組織的價值以確保預算

我們所訪談的企業幾乎都有爭取安全維運經費的困難,許多 SOC 更認為其組織沒有或不再投資足夠的預算在安全維運上。因此建議的作法是提升 SOC 與企業的目標一致性,追蹤及展現安全維運投資對組織的價值為何,並回報 SOC 成功保護攸關企業使命的高價值企業資產。例如,石油與天然氣產業的公司,可以展示其 SOC 部門如何保護機密的開採資料,避免競爭對手取得此一新油源的資訊。

  • 定義明確的流程和程序

在 2019 年,我們發現有更多 SOC 未針對流程發展出一套堅實的基礎。其維運流程不是停滯、沒有持續改善,就是採用無流程文件紀錄的臨時性作法。缺乏定義清楚的流程和程序,不但造成 SOC 的運作依賴著幾個「超級明星」員工的知識,而且影響維運指標的正確性,對相關服務等級的目標達成也會有負面衝擊。

我們觀察到,最成功的 SOC 會採用一套可調整、可移轉、整合性的流程和程序知識管理系統。透過系統的可移轉性和維護簡易性,所有圖像、錄製影片、腳本及其他維運材料,都可以公布給整個 SOC 團隊分享。主管應將維運文件作為追蹤與評量 SOC 關鍵績效指標的條件之一。

  • 確認使用案例以善用新興科技

各種新興技術如人工智慧與機器學習、使用者及實體設備行為分析 (UEBA) 等,為安全維運主管帶來了減輕其安全維運負擔的希望。然而新技術無法自動解決既有的問題,唯有人員和流程基礎均妥善建置後,才能充分運用這些新科技。

因此,為發揮 SOC 已部署技術方案的最大價值,最重要的第一步是確認您的安全性使用案例,再選用符合使用案例的正確工具。一旦您備好使用案例的文件,寫出支持使用案例的內容,就能提升 SOC 的能力,有效地找出已知威脅,進而讓您的分析師有時間和資源,運用 UEBA 等新科技找出未知的威脅。

  • 責任始於正確了解保護的對象

2019 年調查有一個很特別的發現:許多 SOC 缺乏明確的使命定義,或未向其員工及其他部門溝通。通常這種情況源自於大家並不清楚或了解 SOC 需要保護的最重要企業資產是什麼 (如使用者、應用程式、資料、智慧財產等)。

所以 SOC 的責任,始於正確了解要保護的是什麼。您是要避免由某些國家支持的駭客中斷企業的運作嗎?是要保護研發中的產品資料,以防止競爭對手竊取並搶先上市新產品?最佳實務是:完全了解所要保護的對象、明確定義您的使命,並利用服務等級目標及驅動正確行為的關鍵營運指標,讓 SOC 的維運能力與使命達成一致。

知來:2020 新世代 SOC

從調查的結果來看,新世代 SOC 的樣貌究竟應該如何?我們認為,新世代 SOC 解決方案除了應具備擴充性、開放性、整合性,能降低風險暴露,又提供更智慧的威脅偵測、調查和回應處理功能之外,還要能整合威脅獵捕、人工智慧與機器學習、UEBA、安全協調、自動化與回應及其他進階技術。最後,新世代 SOC 的主要特點在於互通性 (interoperability):所有核心及支援性的技術都將整合在一起,以填補資安防衛的缺口,或改善威脅偵測、調查和回應的效率。其意義在於,所有安全解決方案均將協同運作,其成效超越各部分的總和。

1 《2019 第三季資料外洩速覽報告》,Cyber Risk Analytics (CRA),2019 年 11 月 12日。

見賢思齊!一流 SOC 團隊的共同特徵

#1 由上而下的承諾

一流的 SOC 團隊具備自上而下的領導階層,擁有來自執行長的書面、行動和資金的支持。表現優異的 SOC 通常在維運階層具領導地位,有高階主管的奧援,且都能直通董事會。

#2 持續改善的紀律

這些團隊會不斷尋找改善安全維運工作的新方法,如發展新的流程、強化教育訓練等,以便為公司創造更好的成效,並提高 SOC 的效率。

#3 人才培養的投資

他們會投入資源在經驗豐富的員工、教育訓練及認證 (包括所謂的白帽駭客認證 Certified Ethical Hacker) 上。

#4 堅實的基礎

一流的 SOC 團隊必先做好基本功,並在這個紮實的基礎上持續擴展。不會「走」之前,他們絕不會想要「跑」。

#5 驗證並改善

他們會利用安全維運評估服務做為驗證並改進其發展藍圖的客觀工具。

#6 確保 IT 任務的一致性

他們了解並能檢視整個 IT 基礎架構、端點裝置和伺服器。

熱門新聞

Advertisement