寫在開頭

昨天我們介紹 SIEM 跟 SOC 之間的關係，
關鍵之所在，除了好的工具輔助之外，
其實最重要的還是「人」的成分與組成，
才是讓一個 SOC 能夠活躍起來的關鍵。

在 SOC 的人員、流程與程序之間，
除了昨天特別把 SOC 環境內的人員角色與權責，
針對人員做基本面的介紹外，關於流程與程序的部分，
也有在我們過去幾天的鐵人賽文章大致著墨：

• SIEM 與威脅管理
• SIEM 日誌收容(基本篇)
• SIEM 關聯分析(基本篇
• SIEM 事件回應(基本篇)

因為 SIEM 工具的使用就是鑲嵌在 SOC 的大部分範疇，
故瞭解 SIEM 的日誌、分析、回應的過程，
也是蘊含威脅管理 (Threat Management) 框架與精神在其後。

MSS/MDR 是什麼？

Managed 翻譯過來，我們通常指稱「代管」，
而 MSS 即為 Managed Security Service、資安代管服務
以及 MDR 則為 Managed Detection and Response 偵測與回應代管服務
其實在資訊安全代管服務之前，
已經有很多服務都是可以委託給業者來提供服務，
像是主機代管服務 PaaS 業者 Heroku，或是 DNS 主機代管服務等，
都可以讓客戶專注在其本業上，而不用花時間在其他非主要業務的投入。

MSS 資安代管服務

MSS 服務模式其實市場並不陌生，
早先 IT 基礎設施代管也早已行之有年，
Managed Service MS 即是這類的服務特性，

當 SIEM 工具與解決方案在過去十幾年席捲市場時，
固然讓非常多企業客戶都開始購置這類的資安工具，
開始試圖建立企業內、外部整體的資安戰情中心，
但我們也看到由於 SOC/SIEM 相關複雜的機制流程，
以及生命週期的管理都無法把它當作防火牆或端點看待。

如此即產生：「我能否將資安監控服務委託給專業公司？」，
意即，如果建立一個完善、完整的資安維運中心，
就跟資訊單位要建立一個資料中心的複雜成本的話，
那也許單純租用、借用、委託外部資源來實現，
也是一個比較經濟的方式與考量。

在台灣市場的 MSSP

因此提供 MSS 這類資安代管服務的廠商，
我們即稱為MSSP (Managed Security Service Provider)，
技服中心每年都會針對有在政府共同供應器樂上的資安服務廠商進行評比，
即有市場常見的安碁資訊、中華資安、數聯資安、關貿網路等等，
提供包含 SOC 服務、資安健診服務、弱點掃描、滲透測試與社交工程演練等服務。
當客戶希望能夠將資安監控、分析、告警、回應的業務委外時，
台灣目前仍有許多服務廠商都能提供服務。

參考來源: 技服中心資安服務廠商評鑑

MDR 偵測與回應代管服務

在之前我們談到「偵測與回應(D.R)」時，
提到因為傳統 SOC/SIEM 的回應時間不若在端點的反應，
故近幾年端點偵測與回應 (EDR) 蔚為風行，
即是為了滿足把偵測與回應戰線推至第一線、
縮短整體 MTTD 與 MTTR 的平均偵測與回應時間。

在 EDR 的部署實施與監控，比起防毒 (NGAV)而言，
仍需要有人員值守來提供事件回應、威脅獵捕等服務，
因為 NGAV 核心是維護特徵碼或病毒碼更新，
但 EDR 因為係採用異常行為偵測技術，
偵測到的多會是未有特徵碼的「潛藏風險」事件，
故仍需需人員進一步進行調查後才能完成事件回應。

在台灣市場的 MDR

故 EDR 雖然成為主流，
但跟 SOC/MSS 的角色特性類性，
也需要由企業自己派人員值守，或是委託專業廠商來做，
像是端點非常知名的品牌 Crowdstrike，
即是標榜以 MDR 機制來服務企業客戶，
或是像台灣市場上的 Team T5、奧義智慧、中芯數據等，
也都或多或少有提供 MDR 來服務相關需求客戶。

SIEM 與 MSS/MDR

因此 SIEM 作為資訊安全監控的核心，
基本上各家 MSSP 都有自己擅長與慣用的 SIEM 工具，
用以此來打造各家自身獨特特色的服務生態系，
來讓有 MSS 需求的企業客戶能按需選擇。

而在 MDR 這塊，則是採用擅長的 EDR 工具，
輔以人員鑑識調查、威脅獵捕、威脅情資等輔助機制，
來為企業客戶的端點設備來提供資安代管，
至於非端點類的資安設備，例如伺服器、閘道端設備，
通常就不一定能夠一併支援監控，
像趨勢 XDR 策略就是以端點為出發，
延伸到網路、閘道、郵件等多類型的監控，
或是 EDR + SIEM 來提供完整的資安監控服務。

SIEM + EDR vs MSS/MDR

當年看到這篇 2018 年iThome 的專業報導時，
就在想未來哪天 SIEM + EDR 的分野會逐漸消融，
一旦有哪邊業者願意向對方的領域跨出整合，
那就能逐漸完美實現 D.R 的威脅防護戰略：
一方面提升 SIEM 在端點的可視性，
一方面補足 EDR 在非端點設備的監控能力。

對於自身任職在 IBM Security 來看，
當看到公司在去年底宣布收購 ReaQta 端側偵測與回應方案時，
個人真的是非常興奮與高興，因為代表在 18 年看到的趨勢，
真的在 2021年底 實現了！
非常期待在未來還會有其他的 SIEM + EDR 的整合方案出現，
絕對能夠為這塊資安市場與領域帶來非常不同的發展與新面貌。

參考來源: https://www.ithome.com.tw/tech/124793

明日預告

今天向各位邦友介紹 MSS 與 MDR 機制，
以及現在在台灣市場上我們有非常多很好的服務供應商，
也看到了 SIEM + EDR 之間的獨特優勢與整合的可能性。
希望能讓 你/妳 對這塊資安市場有多一些認識。

明天開始是我們會談一下今年很熱門的，
證交所發布「上市上櫃公司資通安全管控指引」，
這一塊也更多著墨與鼓勵現在上市櫃公司，
做好相關的資安單位規劃、編組與相關資安保護措施落實

敬請期待！我們明日繼續空中相會。