【笑談資安事,長老話你知】- SOC の 謎思

    現今遙距工作 (WFH) 成為新常態,但黑客的活動並没有停下來。近日有 FireEye 公司的 SolarWinds 門事件,不久前 Shopify 已確認發生客戶資料洩露,全世界的運作都因為疫情而慢下來,資訊安全人員卻馬不停蹄的工作再工作,加班再加班,日以繼夜,夜以繼日與黑客抗爭;在寫這篇文章時,看到 WhatsApp 群組上有朋友求救:他們公司的電腦系統被 CryLock 入侵,多部個人電腦的文件被 Ransomware 勒索軟件,事故的原因不是每部個人電腦已安裝了防病毒軟件,群組內大部分的意見是「死於自然」或「醫番都殘廢」、「安裝防病毒軟件是常識」。

    群組裡後來談及 SOC 這個話題,有人提出有 SOC 就沒有資訊安全的問題;有人提出 SOC 是公司的核心,不能外判 (Out Source) 第 3 方公司營運;有人提出本地的 SOC 無料到;有人話資訊安全人員很難聘請,有人話 SOC 的收費或運作費用好貴,本地公司不能負擔;有人話 Cloud 的 SOC 才是皇道,是未來的方向⋯⋯群組成員各紓己見,見仁見智。後來想想,不如在這裡發表一下我對 SOC 的看法。以下是我一家之言,如有錯漏,請多多包涵,不要打臉。

    所謂資訊安全監控中心(Security Operation Center, SOC),又稱為資安維運中心或資安營運中心,是集中式即時掌控公司資訊安全狀態的專業單位。成立目的為整合並管理公司各種情況下的資訊安全訊息,對資安事件依管控機制作出緊急應變,並整合及分析安全事故,事後找出原因,提出建議和方案,以確保公司的資訊安全。

    有人說 SOC 是 NOC (Network Operation Center) 的升級版,雖然有很多 SOC 是由 NOC 轉型過來,但 NOC 與 SOC 是用不同的方式去營運:NOC 團隊僅處理與網絡性能和可用性有關的問題,這包括實施網絡監控,設備故障和網絡配置的過程。 NOC 還負責確保網絡滿足服務級別協議(SLA)要求,例如最小停機時間,Backup 和 Restore 日常工作。

    SOC 和 NOC 的主要區別,在於它們對於響應事件 (Incident Response) 的性質和類型。NOC 針對是網絡問題,通常是自然發生的系統事件,例如故障或流量過量。NOC 針對是資訊安全的問題,事件更為複雜和可以人為的,可能來自公司無法控制的源頭如黑客入侵。因此,由於大多數 SOC 網絡安全事件實際上都是不能測預期發生的時間,而 NOC 可以定期地進行硬件和物理設備維修和升級。

    SOC 的總體策略是圍繞風險管理 (Risk Management) 而建立的,風險管理包括收集數據並分析該數據以辨別可疑活動,以使整個公司更加安全。 SOC 團隊監視的原始數據與安全性相關,並且從防火牆、威脅情報 (Threat Intelligent)、入侵防禦和檢測系統(IPS/IDS)、探測器以及安全信息和事件管理(SIEM)系統中收集資料,並發出警報 (Alerts)。當發現任何數據異常或顯示有危害指標(IOC, Indicators of Compromise)時,立即與資訊安全團隊成員進行溝通,做出即時反應。

    資訊安全監控中心 (SOC) 通常具備事前預防的五種功能

    1.     「資安警號管理」Security Alerts Management

    2.     「資安弱點管理」Security Vulnerability Management

    3.     「資安設備管理」Security Devices Management

    4.     「資安事故監看」Security Incident Monitoring

    5.     「資安事故處理」Security Incident Handling

    事前預防可以透過蒐集發布之資安警號,並進行弱點偵測和滲透測試,以降低資安事件風險。事故中監看是對公司現有重要資訊資產維護管理及蒐集資安事件的資料,並分析轉化為可判讀之資安資訊,協助資安人員管控。事後處理則包含回復受害資產狀態及資安事故的採樣鑑證,以避免類似事故再次發生和進行法律行動的上報與跟進。

    現時建立 SOC 的最大問題,是資金投入和資安人才,因為政府或行業的監管的需要,公司不得投入巨大的資金去建立SOC,但 SOC 的相關人才十分渴市,而這些人才在總體安全操作中,有著重要的作用。他們的職位和職責包括:

    比較容易找到的資安人才

    SOC Manager (可以由 NOC Manager 轉升過來)

    Compliance Auditor (市場供應還可以)

    Security Engineer (市場供應還可以,或從 IT 部門的員工進修資安課程)

    相當難找到的資安人才

    Incident Responder (要熟悉 Red Team 入侵及 Blue Team防禦技術)

    Forensic Investigator (要熟悉鑑證技術同監管的知識)

    SOC Security Analyst (要熟悉 SIEM、防火牆、入侵防禦和檢測系統、防病毒軟件的技術)

    Threat Hunter (要熟悉SIEM、Threat Intelligent、Penetration Test、Vulnerability Scanning)

    由於 SOC 人才難找,起步投入資金相當之高,有公司會把 SOC 外判給第 3 方,或者利用 SIEM (Security Incident Event Management) 及資訊安全管控自動化和響應流程(SOAR, Security Orchestration, Automation and Response)結合使用,實施安全事故協調,將自動化工具 (SOAR) 的生產率與分析師的技術技能相結合,寫成自動化響應的 Cookbook (自動化食譜),有助於提高事故響應時間和效率。SOAR 還可以更有效地實現 SOC 功能,而不會中斷服務和減少人為錯誤。

    SOAR 使公司可以 24 小時不間斷的收集有關安全威脅的數據,目的是提高物理和數字安全操作的效率,並在無需人工協助的情況下,回應低級和中級或已知道安全事故。可以從 SIEM 或多個來源收集有關這些威脅的數據。近年,香港有不少公司在現有的 SIEM 系統上加佩了 SOAR,自動化地響應低級和中級或已知道安全事故,節省不少資訊安全的資源,又可提升資訊安全人員的生產力和技術,是一個雙贏的方案。我的公司不時有和 Palo Alto Networks 公司合辦 SOAR + Blue Team 和 SOAR + SIEM 的培訓班,歡迎大家來臨指導。

    作者:資安長老(Frankie Leung)

    超過 32 年資訊安全工作經驗,現為 UDS 是 Data Systems Ltd 的的創辦人和首席資訊安全顧問,為香港政府、大企業、金融界提供資訊安全方案、顧問報告和資安培訓工作。

    ##ransomeware #Firewall #IncidentResponse #RiskManagement #SecurityOperationCenter #SIEM #SOAR #SOC

    相關文章