來論|成功的網絡安全運營中心須知
2022-06-06 00:00 
一個完整的網絡安全組織,需要有一個領袖Chief Information Security Officer (CISO)去制定策略和方向,例如要投放多少資源在網絡安全,決定可承受的風險等。然後有一班安全工程師去設計和實施一些安全系統,如防火牆、防毒軟件等。然而,是否實施了這些安全系統,就算完成工作,可以安枕無憂呢?當然不是。這個時候就需要SOC了。
網絡安全系統,會產生很多的安全資訊,SOC的功能就是要分析這些資訊,從而去作出一些行動。舉個例子,如有黑客用盲撞方法去試不同的密碼,每一次失敗,就會產生一條登入失敗的日誌條目。但如果沒有人去分析這些日誌時,黑客可以不斷試下去,總有一天就會成功。SOC的功能就是去搜尋這些事件,然後去阻截和防止攻擊。當然這是極度簡化的例子,實際上安全資訊多如天上繁星,攻擊的方法也層出不窮,所以SOC的工作是殊不簡單的。
香港正面臨SOC人才短缺
一個成功的SOC須有以下的要素:
1.技術──由於安全資訊太多,根本不可能以人手去檢視和分析。筆者任職的機構,一年要檢視和分析的日誌條目,數量甚至比銀河系的星星還多。所以Security Information and Event Management (SIEM)是不可或缺的。SIEM 從不同的系統收集安全資訊,做初步的分拆和篩選,再給SOC分析員作進一步的分析。
2.流程──有賊入屋,當然愈早發現愈好。要有效並盡快捉賊,就需要一套清晰的流程和分工責任。通常SOC的分析員有多層,第一層專處理一些已知的情景和用例,第二層處理一些未發生過的情景或第一層不懂處理的事件,再有另一層去建立一些新的用例,並盡可能自動化。有些SOC還會主動去搜尋一些可疑的威脅(threat hunting)。
3.人──是最重要的一環。電腦是死人是活,很多時候完全按本子辦事是不行的,或多或少我們都需要分析員自行作一些判斷。雖然人工智能可以幫忙,但SOC人員的培訓是必要的。可是,現在香港卻正面臨SOC人才短缺的問題。
4.持續進步──SOC需要不斷改善進步,一方面是因為黑客不斷進步,不斷發掘一些新的攻擊方法,另一方面安全系統亦不斷進步,所以SOC要建立新的和微調已有的用例。一個調校好的SOC是很重要的,敏感度太低可能錯失了重要的攻擊訊號,太高就會狼來了,真正的狼出現時就會視而不見了。
外判SOC運作不甚透明
SOC可以自建或外判。自建的問題是需要不少的投資,在香港人才也不易找,所以公司要有一點規模才會化算。外判則解決了規模和人才問題,但通常外判的SOC運作不甚透明,隔山買牛,就不容易判斷它是物有所值或貨不對辦,所以筆者建議用一些有信譽的外判SOC。
葉曼春
香港電腦學會網絡安全專家小組執行委員會成員
關鍵字
最新回應