【作者：王榮信 -11/08/2010】
在現代虛擬世界中，造成資訊安全事件的來源為病毒、蠕蟲或木馬，不變的安全事件來源就是「人」。為因應各式各樣攻擊手法、符合政府或企業法規要求，企業採取各種資訊安全科技，包含防毒、防火牆、主機型／網路型***防禦系統、身分認證與存取權限管理系統及身分安全、***甚至網路存取控制等，各種技術提供現代化資安防護很好的解決方案，不依賴單一廠商或產品。

資安事件管理，包含監控、分析及反應，這些多樣化科技的結合對企業也產生新的挑戰，即是沒有一個方式可以標準化、去重複化及關連這些存在於不同科技之事件。
 
此外，對於管理人員而言，通常管理防毒系統為一組人員，管理IPS為一組人員，而管理防火牆也許又為另一組。導致對於整體資訊安全之管理產生「一人一把號，各吹各的調」的窘境，對於即時資安事件之關連分析也產生極大困難，由於要將上下游事件串起，於資安事件後之調查時間會格外地冗長。
 
有鑑於此，企業為了達到安全水準，需要建置一個集中式資源，以跨越及整合這些不同層面之資訊安全產品及管理資源，達到監控、分析及快速回應，因此企業IT組織會建置資安監控中心(SOC, Security Operations Center)。以下將針對建置SOC應該考量哪些層面、進行哪些準備及如何於人員、流程及技術上達到平衡進行說明。

為了 SOC 而 SOC
企業為什麽要建置SOC？為了符合政府或企業法規要求，很多企業為了建置而建置，當然政府或企業法規遵循也是企業目標之一，但一個成功的規劃團隊，必須針對不斷變動的企業目標定義出建置SOC目標。
關於SOC 之任務，因應即將上路之個資法，SOC 重要任務又多了一項，能提供相關之證據舉證，SOC 對於歷史事件處理及保存，也扮演很重要的角色。而SOC另一個重要任務是即時對於資安事件管理，包含偵測、通報、處理及回報，而所應用的任務範圍，根據不同企業商業需求來定義其維運架構，進而決定所需收容及管理之資訊設備，即技術方法，可達到的任務及應用實務。

以「偵測內部員工之濫用行為」而言，根據統計調查，資料洩漏及資訊安全危害所帶來的影響，絕大部分來自於內部員工之濫用，由於內部員工了解企業資訊環境，管理員甚至瞭解相關資訊安全保護措施手法及範圍，因此有心的惡意員工很容易規避資安規範。對於內部員工濫用行為之偵測，絕對是因應個資法第一著眼重點，對此SOC的偵測及處理重點如下：
－應用系統上嘗試多次登入但失敗之行為
－防火牆上偵測來自固定來源 IP 對於不同目標 IP 之存取但被拒絕之行為
－嘗試對外異常連線，包含FTP、SSH、Remote Desktop等
－嘗試更改防火牆、伺服器或其他重要資安設備之重要設定
－非上班時間或異常時間之管理員帳號登入
－非申請之使用管理員帳號登入

孫子兵法：完善的程序及演練
SOC 程序與流程在人員與技術中間扮演緩衝角色，通常一個菜鳥資安分析師不知如何上手，而SOC具備一個好的程序及流程，資安分析師即可先照本宣科，進而慢慢上手。而且通常SOC系統技術在企業特別需求及要求上，有時很難從技術層面完成，程序及流程即可填補不足之處，以人工方式根據程序及流程指引來達成企業特別需求。
 
通常維運一個SOC需要非常多程序及流程，而CMMI(Capability Maturity Model Integration) 可以提供企業一個架構來進行維護及加強，對大部分組織而言，CMMI Level 3 應該是一個基本目標。
 
一旦程序與流程建立後，經常需要異動及更新，建議可以使用wiki文件系統來進行文件管理，且wiki可透過web介面提供使用者對文件內容即時動態修改或更新。也建議於SOC維運人員的監控螢幕上，設計兩個畫面，一個為資安監控所需畫面，一個為程序及流程參考或搜尋畫面。
 
SOC之流程，通常會將其分成下列四個主要象限，分別進行流程定義：
1.商業流程：定義所有能有效維運SOC的管理及行政程序。
2.技術流程：維護所有資訊系統相關管理及設定。
3.維運流程：記錄每天維運相關機制，如輪值班表、交班程序等。
4.分析流程：包含所有對資安事件的事中偵測及事後分析之相關流程定義。

當所有範圍流程定義完成後，一個成熟的SOC必須經常進行模擬演練，模擬演練範圍必須包含所有流程及程序，及相關定義的內外部組織。於模擬演練過程中，為了測試 SOC 於各種狀況之反應，會放入很多模擬情境，並且於每次模擬演練結束後，所有相關之參與人員必須召開一個 “lessons and learned” 會議來檢視所有短缺之處，如何於教育訓練或者流程及技術方面進行加強。

先進的武器：SIEM必備的8大特性
曾經有客戶跟筆者分享管理SIEM之心路歷程好似電影世界末日的情節，美國太空總署發現一顆德州大小的隕石正朝地球方向飛來，而且只有18天的時間反應，而一群太空人背著炸彈自我犧牲，飛上太空將隕石炸毀，太空總署被質疑為什　那　晚才發現，太空總署回答因為預算不夠，太空有那　多隕石需要觀察，只好縮小範圍。對SOC而言，挑戰就是如何從各式各樣且大量事件中，辨識出值得注意之事件，對於這些事件進行關聯，進而達到資安分析師所能夠處理之事件量，這就是SIEM (Security Information and Event Management)系統對建置SOC 的幫助。

SIEM系統必須承受如此大量事件量之收集，依照企業組織之大小，有時必須達到每秒鐘上千筆事件之收集，通常SIEM 系統會有專門負責收集事件之收集器，收集器基本上具備以下功能：
－佈署容易，不需更動原本網路架構，甚至不需新增硬體
－由於各種設備之通訊協定不同，為了收容各種設備，收集器必須支援各種設備之通訊協定以進行事件之收容，如Syslog、SNMP、ODBC 等。
－由於資安事件對於企業而言屬機敏資料，必須於傳輸資料之過程中具有加密機制。
－由於企業網路架構之變更及成長頻繁，對於事件之收容需具有相當之彈性，能夠根據變動而改變，很容易進行事件收容之設定。
－企業內部設備事件流量若過大，為了事件收容時不影響正常營運的頻寬，可以限制該收集器與SIEM系統傳輸之頻寬。

由於SOC需要對資安事件進行關聯分析，當事件收容進SIEM系統後，要能夠達成關聯分析之目標，SIEM系統本身必須具備有下列幾項特性，以快速且正確達到即時關聯分析之結果。
1.正規化，由於SIEM系統前端所收容之設備種類眾多，為了正規化所有不同設備特性之事件，必須有足夠欄位設計，以存放正規化後不同設備特性之事件欄位，以達成關聯分析之結果。
2.事件分類，SIEM系統必須提供一個有彈性且完整的分類法則，讓分析者很容易使用，並且於新資安設備事件之收容也能歸類到其類別，並且保持整體類別之完整性及一致性。
3.容易關聯分析，由於關聯分析主要是為了於茫茫的事件大海當中，找出可疑且值得注意之事件，對於關聯之方法或規則，必須很容易地設計且執行，例如一個系統上如果有數個使用者使用同一個帳號登入但失敗，很可能就是一個暴力登入嘗試之攻擊。
4.多層次事件之關聯分析，為了能夠精準地關聯出異常且值得注意之事件，SIEM 系統必須能夠關聯不同設備之事件，攻擊事件流量如果在防火牆上發現被允許進入，且於一定時間後發現被攻擊的目標系統上有異常連線嘗試連回攻擊者來源 IP，極可能為類似木馬行為，攻擊者試著將獲取之資訊傳回。
5.事件嚴重性分級，SIEM最重要的就是保護企業資產，對於資產價值甚至其弱點評估之資訊，必須能夠整合進SIEM系統，提供SIEM 足夠資訊進行關聯，如同樣的攻擊事件對線上營運系統之事件嚴重程度就比攻擊一般PC之事件嚴重程度來的高。
6.統計分析之關聯，SIEM系統對於大量事件必須有統計分析能力，如異常高之通訊埠流量、異常高之通訊協定流量。
7.歷史分析，常常於企業發生的資安事件，由於攻擊手法精鍊或者內部攻擊者熟悉企業資安架構，很多事件未能馬上被現行規則所關聯，通常關聯規則之邏輯會不斷根據經驗而更新，且於過去歷史事件找出攻擊邏輯後所制訂之規則，通常需要於過去歷史事件來進行驗證是否能夠生效，抓出該攻擊特性，這時就需要使用歷史事件之重新關聯功能來驗證。
8.現實與虛擬之關聯，SIEM能對於現實環境之邏輯與虛擬世界之事件進行關聯，例如同一個帳號在很短之時間登入成功事件，但來源卻來自於不同之區域或國家，或是登入成功之事件，但卻於該企業非上班之時間。

總之，一個SOC架構建立及管理好壞與完整度，可以很明顯呈現出該企業對於資安事件反應速度和程度。而一個完整的SOC不僅可以對資安事件管理節省更多設備投資及人力，並可以符合相關法規要求。然而SOC對於資安事件的發現及回應的有效性及方便性，必須於人員、流程及技術進行三方面完整考量，期許我們不要成為自我犧牲炸毀隕石的太空人。虛擬世界中，所有事情及行為就是事件記錄，一個完整的 SOC，能決定我們與真相的距離有多近。
 
(本文作者為CEH教育訓練講師)