前言

猶記得五月份的時候，在臺北南港展覽館舉辦的臺灣資安大會，引得許多資安菁英與品牌共襄盛舉，探討資訊安全的議題。

隨著數位時代的發展和資訊化的普及，網路犯罪也日漸普遍，根據《環球電訊社》2019 年的調查顯示，58% 的高階主管認為網路資安問題比火災、竊盜來得嚴重！不論公司規模或產業別，一旦遭受攻擊，財務與商譽的損失非同小可！大型企業樹大招風，雖有自己的 IT 資源為網路資安把關，但隨著攻擊頻率越發頻繁，攻擊模式也日新月異，導致IT人力不堪負荷；而中小型企業因為缺乏網路資安專門團隊，是最令網路罪犯垂涎的目標，一但遭受攻擊，需要很長的時間來恢復作業，甚至可能永遠無法運作…
然而，強化網站資安的成本高昂，並不是所有的企業都有資本去建立一個專門的團隊和設施來全天候監控威脅，這就是為什麼許多公司將這些責任交給受信任的第三方的原因。

因此資安監控維運中心(Security Operations Center，SOC) 的作用變得越來越關鍵。

什麼是SOC，主要職責是什麼？

資安監控維運中心(SOC) 是一個集中式即時掌控公司資訊安全狀態的專業單位，旨在保護企業組織的數據、系統和資產免受安全威脅和攻擊。SOC透過使用先進的安全工具和技術，實時監控資訊系統、網路、伺服器和應用程式，對資安事件依管控機制作出緊急應變，事後找出原因加以整合及分析安全事故，將資訊安全事件回應給企業或組織，並提出建議和方案，以確保企業組織的資訊安全。

資訊安全監控中心(SOC) 通常具備五項基本功能：

事前預防 —「資安警訊管理」、「資安弱點管理」

事前預防可以透過蒐集發布的資安警訊進行弱點偵測和滲透測試，以降低資安事件風險。

事中監看 —「資安設備管理」、「資安事件監看」

事中監看是對企業組織現有資訊資產維護管理及蒐集資安事件資料，並分析轉化為可判讀之資安資訊，協助資安人員管控。

事後處理 —「資安事故處理」

事後處理則包含回復受害資產狀態及資安事故的採證鑑識，以避免類似事故再次發生。

選擇SOC服務供應商的關鍵指標

對大多數的企業組織而言，建立一個資安團隊和設施來全天候監控威脅並不容易，極有可能會面臨技能和資金的短缺，因此許多公司選擇委外給SOC服務供應商，讓受信任的第三方安全分析師和工程師團隊控管資安。

企業該如何選擇SOC服務供應商呢？

可以優先考慮已經在相關領域運作多年、有豐富經驗和專業知識的SOC服務供應商，並確保其有遵守相關的安全法規和合規標準。此外，SOC能否及時分享最新的威脅情報也是關注點之一，這樣才能幫助企業預防最新形式的攻擊，提供更好的保護。最後還需要考量到成本效益和其提供的效能是否能夠達到預期的效果，以滿足企業的特殊需求。

如何評估SOC的能力

那麼要怎麼評估SOC的能力是否符合需求呢？

SOC團隊的能力取決於其成員的資安知識和技能水平，因此可以透過評估SOC團隊成員的專業認證情況、培訓計劃以及擁有專業知識的比例等方式去篩選；也可以評估他們的操作手冊、事件回應計劃以及與其他部門的合作流程，來確認其是否有清晰且高效的安全操作流程和應急程序。

此外，SOC的技術設施，例如所使用的監控、防禦技術等，對於偵測和阻擋威脅至關重要，所以也要考量其所使用的安全工具、設備、版本和其有效性，包括入侵偵測系統(IDS)、入侵防禦系統(IPS)、防火牆等。

最後要評估SOC的監控範圍是否能涵蓋企業組織的整個資訊系統，包括網路、伺服器、應用程式等不同層面，確保能夠全面覆蓋所有可能的入口點，以偵測潛在的安全風險。

結論

隨著雲端服務技術資源與個人行動設備普及，惡意攻擊的頻率也隨著企業數位化的成長而大幅度增加，攻擊手法更是層出不窮。企業面臨越來越多威脅和風險，因此資訊安全成為企業面臨的一個重要挑戰。

資安監控維運中心(SOC) 作為企業組織資訊安全的重要環節，扮演著實時監控、分析和回應資安事件的關鍵角色。它通過監控資訊系統、威脅檢測和分析、安全事件管理以及威脅情報分享等職責，保護企業組織免受安全威脅的侵害。因此在選擇SOC時，要仔細評估各SOC服務供應商品牌與能力，或是透過各團隊在過去遇到資安事件和威脅時，其對於時間的敏感性、威脅檢測能力、分析能力、情報分享以及應急處理能力等等因素，觀察其是否能夠立即做出回應，快速識別真正的威脅並減少損害。以這些條件作為評估依據，來確保能夠找到最適合的SOC來保護組織的資訊安全，構建堅實的資安防線。