[SOC #1] 2009新觀念－提升企業自主能力

對於資安維運中心(SOC)的投資趨勢，Novell提出了顛覆舊思維的新主張：要在提升自主能力的政策前提下，結合熟悉自家IT基礎設施的系統整合商之力，發揮總體資源的綜效。

2009年的資通領域顯學，無疑是「綠色IT」，而虛擬化科技與整合式維運，正是這股趨勢的具體成果，特別是後者牽動了資安維運中心(Security Operation Center, SOC)的發展走向。

整合式維運又分成兩部分，一是虛擬化維運，就是在單一資料中心執行所有相關的維運作業。另一則是符合法規的維運，它非僅需要靜態報告，還要動態的偵測結果；譬如，軍事機構管制隨身碟的帶入和攜出，就是一例。

事實上，SOC歷經多年的發展，目前已產生顯著變化。其中SOC委外服務業者的數量銳減，探究主因就是企業提高了自主性──企業渴望讓資安緊密與組織營運流程結合，每個與資安相關的環節都要建立關聯、交互整合，而不再是一個獨立部門的工作而已。

TRC提供威脅警報服務

Novell體察這個變化趨勢，設立了全球智慧型、視覺化威脅管理中心(TRC)，運用先進技術，擷取與分析20多個資安維運中心在全球累計的280萬筆威脅資料，提供最新的安全威脅警報服務。

該中心把資訊轉換成可指導行動的情報，提供客戶各種混合式威脅、安全風險與漏洞的世界級分析與防護；並透過視覺化威脅管理平台，協助企業組織打造全方位的SOC視覺化威脅應變中心，讓企業更輕鬆執行資安策略與行動。

Novell TRC發佈通知「受災戶」的速度，比國家資安維運中心大約快了八小時。我們會在網路駭客入侵ISP之前，模仿他們的行為型態，以「反拜訪」的方式直搗虎穴。也會在不同ISP、入口網站的周遭佈點，偵測漏洞；一有動靜，會列出攻擊者、攻擊時間以及攻擊方法等資料。

另一方面，Novell Sentinel 平台整合 Google Maps API 技術，當資安維運中心偵測到攻擊事件後，會在第一時間追蹤即時事件的相關資產資訊，相對IP位置和使用者詳細身份即時顯示在Google Map上。

舉例來說，台灣第一大縣政府轄下有兩萬台個人電腦，單是防範防毒就是件大工程。該機構把所有電腦的資產匯整成資料庫，整合到SOC，再搭配網路地圖使用。一旦某個鄉公所的某台電腦發生資安問題，SOC管理者就能精確定位「誰是受災戶」，自動發出警報通知。

據了解，以往午前發生的攻擊事件，光是要找到受災戶就得花上半天的時間才能開始處理。現在在整合式SOC的監控下，同樣的狀況30分鐘內就會接獲通知，這樣的效率正是避免資安災難擴散的基本把關能力。試問，你的組織已經具備了嗎？

視覺化規劃，輕鬆掌握威脅動態

目前Novell在台灣推出一套SOC訓練課程，在為期四天的課程中，詳述完成資安維運中心建置的種種步驟。我們會介紹類似應用的產業案例，提供現成的業界使用經驗，讓潛在客戶心中有譜。同時，我們也觀察到，許多企業或機構對於他們投資的SOC計畫，缺乏對「完成樣貌的想像」。因為沒有具象的預先設定，自然無法有效衡量系統的完成度。

針對這個大問題，Novell特別在台灣分公司闢建資安維運中心的設施，不但提供以Sentinel為基礎的平台建置工具，還透過一系列視覺化管理工具，讓客戶的想像在建置計畫規劃初期，就能具像觀看，從尺寸、色彩到樣式皆可客製設計，讓企業不同層級的管理人閱讀適當的報表。

例如給資安管理人的資料呈現是圓餅圖、長條圖、線型圖或關聯分析圖等技術，但給CxO高階經理人觀看的介面，則是採用視覺化趨勢圖，如利用溫度計顯示24小時內的資安狀況。

這種視覺化管理模式已在全球蔚為風潮，它有效取代純文字式的報表解讀，以更貼近自然感官的方式，導引管理者一目了然，迅速判讀資訊，進而採取適當的行動。而Novell也在台灣投入十多名技術人力，協助20多家大型企業和機構，在一個月內完成實質建置，三個月內 SOC 可以展開維運。

循序分階段部署，不盲目一次到位

透過這些平台在技術面、管理面的成熟發展，Novell極力鼓勵企業和機構要改變思維：以自建自維做為啟動SOC計畫的中心策略，拋卻「只想把資安工作丟給委外廠商」的傳統思維。因為唯有組織內部的人員才是真正能掌握、解讀甚至保護資安的人。而是要在自建自維的政策前提下，投入建置，再從提高自主維運能力的養成過程中，把常態作業的部份考慮委外。

基於前述種種，Novell建議企業不要太過追求要一次到位的方式投資建置SOC，因為自建自維的能力還是需要時間和經驗的累積，這個步驟少不得。所以，如果我們把SOC概分為三個階段，由入門到高階的重點依序為：記錄(log)管理、關聯性比對、流程整合。

然而，Novell也瞭解本地客戶仰賴委外業者的習性，並非短時間可以改變。於是我們的另一個策略就是「訓練」既有的系統整合業者在原有主機、網路和軟體的基礎上，向上提升鍛鍊成有能力提供資安維運的相關服務。

我們的觀點很清楚，組織內部流程與資通設備息息相關，只懂流程者不碰觸基礎設施是不切實際的方式。與其找來「只問前端，不理後台」SOC服務業者，不如找原先就孰悉組織IT資訊設施建置與維護的系統整合業者，更能畢其功於一役。