國網中心以 IBM QRadar SIEM 串聯 SOAR 架構 建構完善的資安監控能量

隨著資安威脅日趨刁鑽難測，企業或機構單憑被動阻檔已不足以明哲保身，必須主動挖掘疑似攻擊的徵兆，進一步採取因應措施，才能提升防禦力。因此如何強化組織的偵測與回應效率，已成當前重大課題。

財團法人國家實驗研究院國家高速網路與計算中心（以下簡稱『國網中心』）為有效監控及阻斷日益頻繁的資安事件與攻擊，於去年（2019）啟動下一代資訊安全維運中心(SOC, Security Operation Center)建置計畫，期望讓中心與委託資安服務之機關在資安監控上更臻完善。

上述規劃案，蘊含新一代 SIEM 和 SOAR（Security Orchestration and Automation Response）等重心。其中 SIEM 是優先改善之項目，做為主要的監控與事件收集中心，對此國網中心選擇引進 IBM QRadar，並在資服夥伴精誠集團的協助下、於去年第四季完成建置；下一步將結合相關模組、解決方案以建構資安營運平台，並串連 SOAR 架構，實現「資安全方位、反應最即時、漏洞零死角」目標。

防禦設備增多，須藉助 SIEM 統整大量日誌

國網中心資訊安全科技組長蔡一郎，根據其資安專業及過來人使用經驗，針對企業組織應否自建 SIEM 發表看法。他指出，按資通安全管理法，B 級以上機關應導入 SOC 服務，自建或委外皆可，至於適合自建或委外，端看組織內部的設備數量，假使達到一定規模，譬如擁有 200 台、300 台或更多，意謂每日採集的資料量十分可觀，即有必要自建 SIEM。

蔡一郎認為今後 SIEM 更形重要，只因企業組織的資安設備、應用服務相關防禦設備（如 WAF、郵件閘道器）同步擴增，而使用者行為偵測的日誌量也節節攀升，這些龐大資訊亟需倚靠 SIEM 來整合與關聯，始可釐清事件脈絡，甚至進一步結合 SOAR、達到自動化響應處理。

以國網中心為例，將採取「IBM QRadar（SIEM）＋IBM Resilient（SOAR）」整合運作模式，以降低資安維運負擔，並形成共用資源，未來規劃一併協助國家實驗研究的八大中心（除國網中心外，還包括國家實驗動物中心、台灣半導體研究中心…等 7 個國家實驗研究中心）強化防禦架構。

談到如何選擇合適的 SIEM 產品，蔡一郎歸納幾個關鍵要素。首先 SIEM 是平台，與外部有相容需求，須廣泛支援各種資安設備的日誌檔案格式，愈豐富愈好。其次 SIEM 的工作負載將隨著組織的業務量增加而增加，須能擴充與延展其處理容量；倘若所選產品的擴充性不足，日後可能需要增購另一套，導致一線維運人員必須切換多個 SIEM 介面，徒增管理負擔。

SIEM 與 SOAR 相輔相成，強化事件處理效能

國網中心選擇 IBM QRadar，即是基於前述考量；該系統支援豐富日誌格式，且不論在擴充與延展能力、執行效能，都符合中心期望。事實上國網中心先前曾導入其他 SIEM 產品，執行事件分析的過程，約有 40~50% 的情資素材仰賴其他平台；反觀 QRadar 支援外部情資匯入功能，使外援需求比例大降至 20~30%，故能大幅提高作業效率。

更重要的，國網中心青睞 QRadar，亦是看重它能夠與 SOAR 高度整合。蔡一郎強調，SIEM 和 SOAR 必須緊密結合，因隨著 SIEM 處理的事件量增多、負擔加重，唯有藉由 SOAR 相輔相成，讓許多作業程序自動化，才有助提升事件處理效能；例如資通安全管理法規定，受管單位一旦發生資安事件，須於一定時間內透過 ISAC 發佈通報，而通報工作便適合運用 SOAR 自動執行。總之他對於 QRadar 與 SOAR 彼此整合，同時亦支援 ISAC 情資交換格式，給予莫大好評。

在第一階段，國網中心以其本部為 QRadar佈建範圍；到了第二階段，QRadar 的適用範疇將擴及國研院八大中心。而八大中心中有 2 個 A 級單位、6 個 B 級單位，依法皆須導入 SOC 監控服務，但這些中心的強項皆非資安，後續可由國網中心統一支援，更能確保全體單位符合資通安全管理法之規範。

依國網中心勾勒的未來資安架構，除藉助 SIEM 和 SOAR 處理已知事件外，也期盼加入 AI 預警功能，加速找出一些症狀不明顯的未知威脅，因而把 IBM Watson 列為未來評估的選項。

另該中心目前採取分散式資安架構，北中南據點各自收集資料、執行前處理，再統一把資訊交由上層 QRadar做收斂，其間不少作業環節都奠基在既有資訊設備，使用年限普遍較久，陸續將面臨增強與擴充。為確保 QRadar的 EPS （每秒事件數）承載量持續攀高，國網中心今後不排除購置 IBM 全快閃（All Flash）儲存設備，一來憑藉更高的 IOPS 性能、更快的回應速度，順勢強化 SIEM處理效率，二來可望拜軟硬體系出同門所賜，發揮更高的整合管理效益。

不僅如此，國網中心日後汰換舊伺服器時，不排除評估引進 IBM 的 Power Systems 伺服器；主要看重 Power Systems可透過 IBM PowerSC實現資安與合規的自動化、減少用戶的管理成本，當有人違反既定安全原則時，亦能即時發送告警給管理者，凡此種種都有助於加強使用單位的安全管理與合規測量，與國網中心亟欲打造的未來資安架構願景，可謂相得益。