作者簡歷

現任凌群電腦公用系統事業群事業三部協理，曾任國家安全會議國家資通安全辦公室副研究員。專長為系統整體規劃、系統分析設計、模式模擬系統規劃分析設計、資安事件調查分析、資安事件應變處理、資料倉儲系統規劃分析設計。

資安事件層出不窮，資安投入與預期效益落差太大

從2013年國際上發生的Dark Soul、Target與Sony，乃至於國內發生的第一銀行，遠東銀行，或是2018上半年司法院的資安事件。所有爆發大型資安事件的機關或公司，多的是具備一定程度的資安預算資源。也就是說這些單位組織應該都具備相當完善的資安防禦架構，但當事情發生時，卻讓人深刻感受到相關投入與預期效益差異太大的失望。

資安攻防永無止境，無人可以完全置身事外

「道高一尺、魔高一丈」，大家都能認同資安防護沒有辦法做到100%安全，不管是人為疏失還是故意，在系統的世界裡不斷會有新的漏洞被發現，而只要有漏洞的存在，駭(黑)客就能運用這些漏洞或者是「合法掩護非法(如社交工程)」的手段來達到入侵的目的，可說是防不勝防；而組織型駭(黑)客近年發展出來的ＡＰＴ攻擊模式，更是凸顯了網路戰「隱而不顯，長期潛伏」的特性，在關鍵必要的時刻發動致命性的攻擊，來達成其入侵的最終目的，屬國家層級組織型駭(黑)客，其目的不外乎是遂行其政治、國防及經濟上目的，屬犯罪集團組織型駭(黑)客則是以獲取金錢利益為目的，而駭(黑)客為了避免被成功追緝，均透過層層跳板來發動攻擊，因此不光是被鎖定的對象，一般民間企業、學校、甚至個人都可能被入侵成為駭(黑)客的中繼站、僵屍電腦，發展至今資安防護相對薄弱的物聯網設備，更成為駭(黑)客的首選。

面對組織型專業駭(黑)客，需要專業的資安團隊

面對國家層級及犯罪集團組織型駭(黑)客的資安威脅，被駭幾乎是常態，誠如美國中情局曾經表示：「我們發現目前企業遭駭情況可分為兩種，一種是能夠發現自己被駭了，另一種是被駭了都不知道。」，唯一勉強令人感到慶幸的一點是，「凡走過必留下痕跡」，駭(黑)客入侵手法雖然推陳出新，但終究還是有跡可循，因此我們與黑客之間的攻防競賽在於—如何強化偵獲遭駭的能力，如何「及早發現、及早治療」成為企業及組織資安防護首要面臨的重大課題。

而這樣的課題，小自企業商業機密、個資保護，大至國家關鍵基礎設施，以及國防自動化武器系統的安全防護，同樣需要培養專業的團隊來遂行駭(黑)客攻防戰，這也是近年各國紛紛成立網路戰專業部隊的主要原因，然而對一般民間企業而言，培養專業的資安團隊在財力及人才進用是有其困難的。因此委外資安專業服務應孕而生，情資驅動的資安聯防概念更是發揮綜效的良方。

資安防護人人有責，這不是一句口號，而是一種必要的認知

談到這，讓我們回顧並探討文章開頭提到的-企業相關投入與預期效益差異太大的主因-企業可能買了很多的防護設備，卻沒有做好應有的設定，而有了設定之後，卻沒有即時針對告警加以處理，事件處理完後，卻沒有查明肇因，補強應有的防護設備或調校相關的安全設定與作業程序……，只要上述的任何一個環節被忽略，歷史將會一再重演，相同的過錯也會一再發生，雖然我們也提到遭駭是無法避免的，但放任相同的過錯一再發生，讓駭(黑)客來去自如，卻是不可原諒的!我想很多人也許會說，事情有這麼嚴重嗎?當您有這樣的想法時，您應該是屬於美國中情局所說的第二種情況!

很多小單位及小型私人企業認為自己沒什麼重要資料可以被偷，系統也不怕被癱瘓，被入侵沒有什麼大不了，頂多系統重灌，資料再倒回來就好，但其實因為您的漠視與不處理，讓自己(單位)成為駭(黑)客部署中繼站、僵屍電腦的?床及遂行惡意行為的大本營，而導致他人受駭不斷，換句話我們每一個企業，甚至是個人在資安防護工作上都是有社會道義責任的。我國立法院在今(107)年5月三讀通過了資通安全管理法以後，身為國家關鍵基礎設施提供者，相關防護作為則是具有法律責任及義務的。

傳統SOC(SIEM)服務已無法滿足實際運作需求，MDR概念的掘起

在政策的規範下，我國的政府與金融產業，多半已採用委外SOC服務(Gartner稱之為MSS(Managed Security Services))來進行資安事件的偵測與通報，但SOC廠商為避免面對排山倒海而來的大量警訊疲於奔命，多半使用SIEM產品，除了提供一定年限的紀錄保存功能外，透過收集資安設備警訊及設定關聯規則後，發出對應的資安事件通報。但對於後續協助處理的機制，往往就比較缺乏，大多需要依賴使用者自行處理。

2017年5月，國際著名研究暨顧問機構Gartner發布一份新的市場指南，提到更新一代的MDR(Managed Detection and Response)，強調持續性的威脅偵測與監控機制，同時提供客戶完善的資安事件處理能力。而透過MDR服務提供偵測、分析及處理一次到位的服務方案，就是為了改善傳統MSS服務的一些盲點。

而從服務的角度上，由專業團隊來幫助企業做到事中監控分析、情資分析，以及即時提供鑑定報告，讓用戶能獲得正確建議處置與作法，才是事情解決之道。因此，新型態資安服務隨之興起，透過資安委外服務的方式，運用機器學習、大數據分析、威脅情資與相應的偵測與反應技術，來幫助企業做到事中偵測與資安事件處理。

打造堅實的資安團隊與智慧型整合服務平台，以服務取代產品，為凌群及客戶建立良好的合作夥伴關係，創造雙贏



為響應政府政策、符合市場需求及科技趨勢潮流，過去這一年來，我們公司在既有強大的系統整合能力優勢下，網羅了國安等級的資安專業團隊，成立專責的資安部門與7*24小時的資安監控中心，更與多家國內自主頂尖的資安產品公司合作，開發獨步自有的「智慧型資安整合服務平台」，結合人工智慧、機器學習、大數據分析等技術與可視性工具(Endpoint visibility/Network visibility)，為國內外的客戶，提供新一代全方位、高優質的資安監控服務，期望以服務取代產品與客戶建立良好合作夥伴關係，滿足客戶ISAC、SOC、CERT三大作業機制運作需求。