SOC 營運技術與智慧

仔細分析網路上的攻擊行為，將會發現有很重要的特徵：各種攻擊事件有先 後次序的關係，例如一個系統被成功攻擊之前，攻擊者需先建立進入點；要建立 進入點之前，就要先可以通過各種管制點或逃避偵測；要知道哪裡有可能的進入 點，就要先進行偵查或刺探，以決定要選擇哪一個目標為入侵標的。

依照這樣的時序關係，我們搭配在 IT 環境不同節點的不同功能資安設備，綜 合各種事件的比對與分析，可以協助我們儘早掌握入侵事件，並進行後續的通報、

阻絕與處理等等。典型的資安防禦架構（圖 16）[11]，各組成元件說明如下。

 實體安全：利用特殊設備（如門禁、指紋辨識），限制存取電腦系統。

 偵查獲取情報：攻擊者利用各種資訊技術或其他方法，瞭解企業的網路 架構或電腦系統的位置與提供之服務內容。

 預警聯防：表示防護端者利用各種偵測技巧，標定可能的偵查行為並預 警，常見的有誘捕系統（honeypot）將不尋常的連線行為儘早辨識出來。

或使用各種弱點掃瞄工具，自行偵測、發掘潛在的資安弱點。

 攻擊標的分析：目標分析是指攻擊者分析偵察獲取情報，評估標的特徵 與可能的弱點，攻擊者也可以與駭客社群，獲取各種工具或手法。

 威脅分析與補丁：威脅分析是防守端採取的防守行為，以進一步確定潛 在的攻擊者和他們的動機。防守者還可以進行滲透測試之類的檢測，以 攻擊者的思維，對防守端的環境進行攻擊。一般滲透測試會找第三方專 家來負責，以便找出高風險的問題，並預先加以補強與防範。

 試探存取系統：試探存取是指那些在之前偵查獲取情報實取得的基本用 戶名，並嘗試是否可以登錄系統，並取得權限（如 root）的行為。

 入侵偵測與防禦：防守方利用各種監控設備，找出符合攻擊特徵的事件，

並加以記錄或阻擋。

 閘道進出管制：用戶進出管制是指防守方以電子方式來限制登錄系統所 採取的措施，這些控制可能包含有多重密碼，整合防火牆、IC 卡等，用 來決定或限制用戶的進出、登入、權限等行為。

 入侵系統：實際進入系統並獲得其控制權。

 發起攻擊：實際攻擊，可能發生在單一事件或一個波段的攻擊事件中。

 消除入侵痕跡：掩蓋入侵者所採取的行動，掩飾並消除了入侵的證據。

 即時監控、事件回應：綜合所有蒐集到事件綜合分析研判攻擊方的活動，

7 x 24 監控攻擊事件可能造成的風險高低與影響範圍。並根據事先約定的 通報程序或處理方式，發出通知或進行事件處理。在有威脅的事件發生 多 久 內 要 完 成 通 知 、 處 理 等 ， 稱 作 服 務 水 準 （ SLA – Service Level Agreement）。

 系統損壞：系統受損指的是攻擊所損失或影響之服務、資料或系統功能。

第六節、 SOC 績效評估架構

績效評估需要搭配相關的度量指標（Metrics）加以衡量，在牛津字典中[10]，

Metric is a system or standard of measurement. 在 IT 領域之中[2]，將 IT portfolio management 分成兩個主要的構面：

 value delivery- 包含降低成本、增加營收、提高生產力、降低循環時間、

降低停頓(downtime)時間等。

 process improvement - 主要聚焦在有效度(effectiveness)上，關心相關的流 程(process)是否有改善，流程是否提供預期的價值，流程是否適當的涵蓋 運作，與需要改善的項目與落實責任的歸屬(accountability)等。