近年來,駭客攻擊事件頻繁,全球資安需求大增。以過去兩年來看,資訊安全服務佔比大幅提升63%,印證資安議題絕非危言聳聽。隨著市場上的資安產品與服務百家爭鳴,愈來愈多企業產生疑問:同樣叫做資安「服務」,又有什麼不同?選商時又有哪些需要注意的?
「服務」有許多不同解讀,例如在雲端技術下誕生的「軟體即服務(Software as a Service)」,這樣的 service 本質上還是一種實質性的產品工具,可能是一套系統、軟體或平台,企業透過訂閱付費可以即時取得最新的資安工具。這樣的廠商擔任的是「原廠」的角色,最大的任務在於研發自家產品、強化其功能,讓產品能夠因應各種新型態的資安攻擊。
另一種則是像我們這樣的「託管服務商(Managed Service Provider)」,是由真正的「團隊」來執行服務。當企業內沒有專業、專責的資安團隊時,交由委外廠商擔任 SOC(Security Operation Center),協助導入資安工具,進行監控、應變、管理,以及優化底層資訊架構,是更符合成本效益的做法。當然,有些平台式服務也會被稱作託管服務,這通常取決於廠商自己的市場定位,企業端在評估時仍須小心拆解。
市場上的服務百百種,各家廠商也有自己的分類與定義。企業端需要注意的是,任何一種解決方案,真的有從源頭解決問題嗎?還是只滿足了企業的「安心感」?如果你的供應商只會selling,卻不能做到problem-solving,那就要小心不僅不能降低風險,反而將潛在成本愈滾愈大。
資安如打仗,武器、部隊和戰術缺一不可
解決方案原廠就像是武器軍火商,服務供應商就像是傭兵團;原廠負責開發最強的武器,服務商要懂得擬定戰術,善用武器作戰。二者肩負的使命不同,就如同軍火商不需要親自上場打仗,而傭兵團只挑最好的武器上前線,彼此互相合作,也能相互督促:資安原廠只挑技術夠硬的服務商deliver服務,提升客戶使用率,服務商也只會找好用的產品為客戶維運,否則後續如果出現問題只會自找麻煩。
同樣是「資安服務」,企業主通常搞不清楚 MDR(Managed Detection and Response)與MSSP(Managed Security Service Provider)的差異。
資訊安全供應商Check Point是這樣描述的:MDR 與 MSSP 都是委外的「資安託管服務」,硬要比較的話,MSSP 可視為一般的資安團隊外包,負責分析、回應及處理資安資料(Logs)與告警(Alerts),應付真實的事件與威脅。MDR 則被認為是 SOC 團隊的進階版,企業期望 MDR 服務能加深對於整體網路資訊架構的可視性,主動、預先偵測到「可能或正在發生」的資安事件、潛在威脅與安全性風險,擋下攻擊並處理它。
Both MSSPs and MDRs provide managed security services for an organization.
In general, MSSPs are designed to act as a complement to an organization’s existing security team. An MSSP may help an organization to fight alert overload by acting as an initial clearinghouse for security data. By sifting through and curating these alerts, the MSSP enables an internal security team to focus its efforts on the events most likely to be true threats to the business. An MSSP may also offer support for incident response to an organization as needed.
An MDR provider is more likely to act as a complete replacement for an organization’s internal SOC. MDR providers have deep visibility into an organization’s network and the ability to respond to ongoing incidents or to act proactively to identify undetected cybersecurity risks or potential threats via threat hunting.
根據定義,我們可以整理出五大差異:
MSSP 較著重於「預防」, MDR 則涵蓋「偵測並回應」
MDR 的智慧應變來自資安情資(data)與應變中心(SOC team),而 MSSP 通常是自動化監控—意即它只會通知你威脅的存在,你得想辦法排除
MDR 通常主打 24/7 監控,SOC team 幾乎能做到即時應變
MDR 提供比較豐富的數位鑑識工具,好用來調查網通暗處與攻擊源頭
MSSP,或者說不包含「即時應變」的純監控服務,通常會便宜許多
從駭客攻擊鏈了解MSSP和MDR的比較
那麼問題來了,企業應該怎麼選擇武器與戰友?Alert Logic 資深產品行銷經理 Rod Mercado 提供建議。從下表中可以察覺到,許多較為傳統的 MSSP 服務停留在單一領域專長(例如防火牆設定),較難從駭客思維、行動應付新型攻擊。在預算允許下,建議企業尋找能夠深入解決問題的資安供應商。
MDR建議適用企業情境 MSSP建議適用企業情境
企業需要高規格的資安監管要求
資源有限下,欲升級資安工具(e.g. 24/7監管與智慧回防)
尚未建立資安監控系統
缺乏修補程式(Patching Program)
企業內部有技術團隊來管理與應用資安工具
重點不在砸大錢 聰明管理才走得遠
根據資安廠牌趨勢科技與研調單位 Sapio Research 共同發布的研究報告指出,儘管許多企業自 2020 以來已大幅增加對資安防護的投資,但可能還停留在「花錢消災」的心態。全球受訪者中,僅 46% 認為內部充分了解「網路資安風險」與「網路資安風險管理」的概念;台灣則僅有41%。企業仍將資安列為IT人員的責任,管理者與一般員工對資安治理的參與度嚴重不足。
有了AI、雲端分析等尖端科技助力,資安產品與服務仍不斷在加深、加廣,以因應防不勝防的新興攻擊模式。企業除了聰明選商之外,勢必要意識到資安不單純是場「軍備競賽」,符合公司治理政策,將預算花在刀口上,培養主管與員工的資安意識,才能走得安穩而長遠。