SOC 网络安全威胁 !

  • 格式:doc
  • 大小:224.00 KB
  • 文档页数:9

吴家祺

国家资通安全会报技术服务中心副主任

网络安全的威胁

根据美国联邦调查局(FBI)所公布的2005年的最新网络犯罪和计算机系统遭受攻击调查,对包括:金融、高科技、政府、制造业、医疗、ISP、教育等类别共约700个受访单位,有几项重要显示如下:

一、 病毒攻击事件是造成最大之金钱损失的原因,其次是非授权存取,再来才是瘫痪式网络攻击

二、 非授权存取信息与数据被窃所造成之损失有增加之趋势

三、 网站事件升高许多

四、 资安委外比例仍然很低

五、 资安事件发生大多不愿意报案,以免影响声誉

六、 超过 87% 受访单位有执行资安稽核

七、 沙宾法案 (Sarbanes-Oxley Act) 开始对业界产生资安需求之影响

八、 大部分受访单位认为资安倡导很重要,但所投入之资源仍欠缺

根据赛门铁克(Symantec)部署于全球500个安全委外代管服务客户之40,000侦测器,于180个国家持续观察网络活动,2005年下半年具金钱意图所发动的在线诈骗攻击,还是首要锁定金融服务产业,其次则是教育机构及小型企业。

网络安全的威胁不分国界,上述显示是否在我国会有类似情形?我国信息化与网络化情况日益蓬勃发展,资安事件亦层出不穷,为确保对内或对外的电子商务或电子化政府活动都能畅通无阻,降低安全的风险,大部分政府或企业都逐渐有信息安全的风险管理观念,也普遍已有防毒、防火墙,甚至入侵侦测系统的资安产品部署,来防护或侦测信息安全事件的发生。但是为什么资安事件仍屡见不鲜?道理很简单「Security has no silver bullet(信息安全没有银色子弹)」,但是很多单位「资安事件的发生却没有发现」是不争的事实,这也意味着部署了防火墙、入侵侦测系统侦测的信息,是否有误报?是否有效?是否有专门的系统管理?或有专业的人来监看这些信息,并做进一步的因应,以降低资安风险?于是近年来有所谓的资安监控中心(SOC, Security Operation Center)或MSS (Managed

Security Service)7x24的资安事件监控管理的委外服务的出现。

本文将参考Meta Group、Gartner等研究单位的报告,针对资安监控中心(SOC)或MSS作一些探讨,希望读者在自建或委外SOC时有所帮助。

SOC 相关名词定义

在界定何谓SOC之前,首先需先了解下列几个SOC相关名词: 一、SOC(Security Operation Center)

可译为「资安监控中心」,类似中兴或新光保全有防盗的监控中心,而SOC是防护网络安全事件的监控中心,在Meta Group所述「SOC- Focus on security alert and

escalation handling and act as a command center during security incidents (e.g., intrusions),SOC为焦注于资安警讯、警戒提升处置及资安事件(如:入侵发生时)之指挥中心」,所以可视为资安事件监控与处理之作业中心,该中心应有人员(People)、产品(Product)及程序(Procedure)整合起来。通常SOC具备研究、监看、扫瞄、应变、报告等五项基本功能,而通常一个SOC会对多个客户以分散收集、集中管理方式达成上述功能。

二、MSS(Managed Security Service)

MSS可视为「SOC委外服务之通称」,Gartner将MSS解释为「An MSS includes remote, subscription-based monitoring and/or management of Firewalls, intrusion detection

and prevention functions via customer-premises-based or network-based devices」,MSS包含远程及藉由客户或网络设备之防火墙、入侵侦测之监控或管理之申请之防护服务。通常MSS以现场或远程方式提供7x24的实时监控、防护、警戒提升与应变程序。

三、MSSP(Managed Security Service Provider)

SOC委外服务之厂商,例如:美国的VeriSign、Symantec及Internet Security Systems(ISS),及国内的宏碁与数联资安公司就是典型的MSSP。其中原来以CA凭证见称的VeriSign并购了一家MSS做的很不错的Guardent,而Symantec防毒大厂主要并购了Riptech这家MSS著名的公司,是否这些资安大厂看准了MSS会是一个趋势吗?

四、SIM/SEM

Security Information/Event Management是「安全信息管理工具,可以提供SOC收集信息与事件关联的功能」,可视为资安设备信息集中监控分析之软件工具统称,通常SOC会使用SIM或SEM,SIM/SEM的功能不同价位也有极大的差异。例如:ArcSight、e-Cop、SIMCommender等多达十余种。

国内外SOC厂商(MSSP)与市场需求

在本章节中,将针对提供SOC服务的厂商,在北美、欧洲、亚太地区(日本除外)、台湾地区的情形与市场需求,整理说明如下:

一、北美地区

市场规模在2004年约9亿3千600万美金(折合新台币300亿元),2005年约10亿美金(折合新台币320亿元),约20家主要SOC厂商(MSSP)厂商(如图一),本图依据厂商的「执行能力」(包含:产品服务、存续能力、业务/价格、营销、客户经验、作业)及「愿景完整」(包含:市场掌握、营销策略、业务策略、产品/服务策略、商业模式、产业策略、创新)将这些厂商分成四个象限:

(一) 领导者(Leaders):具有鲜明的MSS特色,在客户心中为仅作信息安全的厂商,在Gartner客户调查回复服务与效能均非常正面,如:VeriSign、Symantec、Internet Security Systems

(二) 挑战者(Challengers):大多为电信、委外或顾问服务中提供MSS加值服务,通常并非最为客户所想的MSSP,但却是最不会去抵抗的附加服务,因此此类厂商为北美所占MSSP市场之大宗,如:AT&T、IBM、Unisys、Equant、CSC、Getronics

(三) 愿景者(Visionaries):此类厂商展现其专注于资安管理高质量服务的能力,如:MCI、Cybertrust、LURHQ、Solutionary

(四) 利基者(Niche Players):此类厂商多为在某一类别市场很成功,如:EDS、Sprint(电话业)、Perimeter Internetworking(金融业)、Securework(金融业)、VigilantMinds(医疗业)

(图一)中的MSSP均具备下列条件: (一)管理或监看超过200个客户设备。

(二)有能力监看或/及管理防火墙。

(三)提供分布式监看入侵侦测系统及入侵防护系统服务。

北美市场有个趋势是大型解决方案厂商并购专门做信息委外之厂商,如:MCI并购NetSec,Getronics并购RedSiren以拓展MSS之版图。此外,北美市场有逐渐成熟之驱动力主要为:

(一)更多的基本资安作业委外需求,例如:防火墙管理、入侵侦测系统监看及渐渐也获采用入侵防御系统的监看。

(二)需要符合政府法规的要求,例如:Payment Card安全要求,使业者需要MSSP提供文件程序及报告弱点管理周期活动。

(三)以注册会员形式或在大的资安监看服务中搭配经常性的弱点扫瞄,比起以前一次性的资安检测,作为需求单位需维护工具,或聘请资安专家的替代方案,已更加殷切。

(图一)北美地区SOC厂商特色

二、欧洲地区

市场规模在2004年约7亿2千500万美金(折合新台币232亿元),2005年约8亿美金(折合新台币240亿元)。欧洲主要SOC厂商(MSSP)约10家左右(如图二),分成领先者(Leader)、挑战者(Challenger)及追随者(Follower)三类厂商。欧洲MSSP市场投入者有资安专家、网络与通讯服务供货商、IT委外服务供货商,这些供货商会着眼于不同区域、产业别,并展现其强项及价值之特色。

(一) 领先者:此类厂商提供专业、标准作业程序、领先的资安技术,并拥有一群团队与法律专家,并施予教育训练与轮班作业,在MSS效能上很不错。

1. Ubizen:不论在效能与占有率均高,特别在金融、自动化及实际维运上均表现显著,并与 Betrusted 与 TruSecure 合并,以确保其长期在 MSSP 投入之决心。 2. Unisys:非常有意愿采用客户需求,并锁定区域性金融业与交通业之客户,然而其在 MSSP 市场仍然不多。

(二) 挑战者:此类厂商不是已为信息大厂就是拥有大量既有客户,为了资安加值服务而进入MSS领域,会藉由伙伴厂商补足地域性和服务上的不足之处。

1. Symantec:虽然是全球性资安大厂,尤其在既有资安市场占有率高,然而在客户的反应上,希望其在 MSS 服务上的交涉与服务水平协议的客制化能更符合客户需求。

2. ISS:在技术能力、资安弱点与威胁分析上是其公司旗下 X-Force 部门之强项,并在 MSS 力求在欧洲地区市场能有所拓展。

3. Equant及AT&T:二者均是网络服务厂商,很类似的是都希望藉由既有之信息基础设施服务加上资安服务的价值,通常会找专门做 MSS 的厂商合作,例如:Equant 找 Ubizen 为伙伴在 MSS 上拓展,然而此类厂商很难建立在 MSSP 之名气。但重点是这类厂商主要目的是要妥善运用 Leverage 其自有网络服务基础,在此原有服务包裹着资安委外管理服务,企图在市场上能有一些斩获,是这类厂商的机会。

(三) 追随者:此类厂商通常在某一领域很强(如:全球化、客制化或整合服务),但欠缺其它要项(如:弹性化、员工专业、客户互动),因此在大型服务案之下与客户建立良好关系是一个重要考虑。

1. Infonet:是全球资安厂商,但较欠缺策略、经验与网络安全服务,但在 BT 厂想要并购下,可能会在 MSS 投入资源。

2. CSC:是一家主要以 IT 服务之厂商,在广大客户需求下MSS之 服务,也着手尽量符合暨有客户之需求。

(图二)欧洲地区SOC厂商

综上而言,欧洲的MSSP市场成熟缓慢,厂商需要强化其作业程序、技术及服务范围。然而估计2005年欧洲60%欧洲企业(其中大企业约25%,中小企业(员工小于500人)约60%)会委外至少一项网络安全设备之监看或管理,大型企业尤其是对资安风险非常了解的金融业、医疗业及国防机关需求更高。特别是西欧,