資安開源與託管資安服務之發展趨勢探討

資策會 資安科技研究所 毛敬豪 (chmao@iii.org.tw)

政府近年重視資安發展，無論是蔡總統宣誓發展六大核心重點產業結合5G時代、數位轉型及國家安全的資安產業，或是行政院核定台灣5G行動計畫完備5G核心及資安防護能量推動主軸，針對5G 科專技術成果及國內網通產品，發展5G 網路資安之偵防系統，並積極協助國內網通業者落實5G 產品合規檢測，加速國產5G 產品進入市場之目標，或是在四年前持續發展的「五+二產業創新計畫」之「國防（資安）」產業為策略性推動重點，強化資安技術自主研發能力，推升本土資安產業在技術研發與能量的精進，確保國家安全、社會安全和個人安全，資安研發與市場的需求正持續發展，無論從資安新創或是產業發展的角度，產業資安化正逐漸成形，資安開源與託管資安服務會扮演驅動的關鍵角色。

資安開源是資安解決方案肥沃地土壤

隨著時間演進，駭客感興趣的高價值入侵目標也在改變，從APT攻擊、分散式阻斷攻擊到勒索病毒、挖礦軟體，政治價值與經濟價值資安在威脅動機上佔了重要比率，當聚焦在大廠重大資安事件的同時，結合IT、OT與CT關鍵基礎設施的資安，若遭駭衝擊影響層面廣泛且嚴重，繼政府、金融及醫療領域，關鍵基礎設施資安在防護模式關鍵基礎設施領域並非如高科技或金融領域擁有較充足的預算投入資安，因此資安服務模式會隨著資安威脅面向而一起演進。

資安解決方案往往仰賴國際大廠產品，而國內基於大廠產品提供資安監控、弱點掃描以及資安情資服務等，然而許多產業（如：電商、NGO等）經濟資源匱乏，技術團隊稀缺且無法負擔昂貴的資安防護技術，因此其網絡防禦無法保護他們，除了呼籲產業加強投入資源，如何透過技術突破創造彈性資安服務模式，進而讓資安服務能落實。

資安開源軟體在資安防護解決方案中佔有一重要角色，在社群中往往可以看到如：Linux security tools (top 100)、Free for Open Source Application Security Tools、The Top 59 Owasp Open Source Projects等，開源軟體在入手成本在建置入手成本上，低於商業解決方案的成本，然而在實際商業面上，其技術需求與維護成本往往存在隱形成本，例如在入侵偵測系統(Intrusion Detection System)中，Snort就扮演一重要角色，深入看入侵偵測系統，其關鍵技術為攻擊威脅樣態識別技術，而這些攻擊樣態識別技術則基於樣態識別的比對技術以及資安威脅情資，也因此我們發現，當Snort在受到廣泛應用時，SourceFire就成為Snort的商業品牌，基於open source下，資安產業發展出新的商業模式，而這樣的發展更與Cisco現有的情資平台Telos一起發展，開源軟體扮演工具的角色，而與資安情資共同所發展出來的資安商業模式，造就了Security as a Service的創新發展模式。

對於資安服務與產品而言，資安開源軟體在關鍵工具與元件方面扮演重要角色，然而，商業化產品需持續維護及功能整合，尤其，持續性的資安情資往往是資安防護主要關鍵成功因素，直接使用開源資安工具於資安檢測與防護，持續維護與服務模式探索往往是採用開放源碼隱藏成本主要來源，而在垂直領域（如金融、醫療、工控等）方面，更需結合領域知識並融入領域的生態系，資安開源軟體將扮演關鍵元件的角色，結合既有資安服務框架

國際資安開源軟體之商業模式探討

以開源軟體為基礎的商業模式以非常普遍，在資安領域方面，此種模式更是蓬勃發展，以入侵偵測系統為例，Snort是享譽名聲的Open Source入侵偵測系統(Intrusion Detection System, IDS)，從開源社群開始廣泛被運用在實際環境，不少資安產品乃是基於Snort進行發展。Snort中的偵測規則是其核心關鍵，過去Snort就將規則庫的訂閱成為一種商業模式，付費的會員可享提早一個月的新規則更新，除了在資安情資的商業模式，後來更發展出SourceFire這家公司（2013被Cisco收購），針對IDS事件透過資安資訊事件管理平台(Security Information Event Management, SIEM)，進行後續整合加值關聯，同時許多資安新創則環繞在Snort生態系中，發展如加密流量分析、事件關聯引擎等核心技術，同時結合大數據開源解決方案ELK(Elasticsearch-Logstash-Kibana)或是商用解決方案Splunk等。

除了從資安服務角度發展開源軟體資安價值，跨領域資安防禦則是Open Source為核心資安商業模式另一重要關鍵，尤其在5G垂直應用與專網的發展中，資訊系統已經跨Information Technology(IT)、Operation Technology(OT)以及Communication Technology(CT)，垂直領域跨不同產業，資安防禦需從縱深考量，然現有資安解決方案在成本考量下難以落地到垂直領域，例如：若採用企業用的EDR於智慧城市的場域，大量IoT設備將難以負擔成本，因此，結合Open Source資安解決方案以及商用解決方案，重新定義資安服務模式，將資安解決方案深化到各個不同領域。

近兩年來，結合Open Source解決方案創造資安創新服務模式在國際上已有不少成功案例，Suicata所衍生出的資安新創的案例可以一探究竟，Suricata是類似Snort的另一個Open Source入侵偵測系統資安解決方案，Stamus Networks這家新創就將Suricata整合ELK架構，並額外發展了Stamus Scirius Community Edition聚焦在管理與情資，提出SELKS開放源碼在Github，而其商業模式則聚焦在資安即服務之模式，除了Stamus Networks外，國外不少新創共從資安情資角度切入，藉由AI核心佈局關鍵核心技術(如：Counterflow AI)，或是透過情資共創的機制結合區塊鏈技術克服情資共創技術上的挑戰(如：polyswarm)，上面這些公司在美國新創皆以進入了A輪。

託管安全服務下的新資安創新服務模式

綜觀Open Source所創造的商業模式，以Open Source為核心的資安工具或元件，依不同領域的領域生態，依該領域的資安可投入之預算，發展出新的服務模式。而對於缺乏資安預算的中小企業而言，Managed Security Service Provider(MSSP)可以協助資安監控服務，並且進行低互動式的資安測試，透過資安產品供應商或代理商在銷售資安防護產品後，持續提供資安監控與防護服務，因此資安產品代理商轉而朝向MSSP發展，藉以創造新的資安服務商機。

MSSP的核心關鍵仍是在於資安情資，近年來資安情資市場近年沸沸揚揚，資安大廠如Cisco推出的Telso、Palo Alto的AutoFocus、CheckPoint的Cloud Guard或是Kaspersky的Threat Data Feed等，而資安新創更是蓬勃，在銷售防護產品的同時，因應資安服務的模式改變，情資與防護服務模式逐漸解構，如某個資安大廠就宣稱，可將我們的情資用在你自己的防護設備上，資安廠商、網通設備廠商以及系統整合商將朝向資安專業分工發展，以Suricata的規則庫來說，就分為2種主要來源，包含：Emergency Threats (ET)、Vulenrability Research Team (VRT)，其中ET受到Check Point資安廠商維護，而VRT則由Cisco收購Snort維護，資安產業供應鏈成形，上游資安情資、中游資安服務（服務包含產品）與下游資安營運，透過Ochestration貫穿整個資安防護與產業體系。

以台灣5G時代的資安服務創新模式- Virtual Security as a Service

5G上路與供應鏈資安的驅動下，正處於發展垂直導向資安產業鏈的重要機會，Virtual Security as a Service將會是資安服務創新模式的趨勢，依資安情資、資安服務與資安維運上中下游的定位，具備資安頂尖技術能量的社群與學校，與透過人工智慧技術所衍生出可以處理加密流量或是情資關聯的新創團隊，可發展垂直領域與區域化的資安情資。對於系統整合商、電信營運商與應用服務供應商，其既有的領域客戶是發展資安服務最大的利基，而關鍵在於資安服務自主技術掌握的程度，以及與上游情資分析與掌握的能力，而在資安營運部份除了現有SOC業者，從Network Operation Center或是電信Operation Support System也會朝向資安營運發展，另外資安營運則在全自主維運與全外包維運的比率而調動，全仰賴企業規模與產業類型而定。

5G外部有合規需求，內部有防駭挑戰，大量異質裝置以及基於5G專網的MEC運算架構，資安產業生態鏈的建立可催生資安防護Turn-key的解決方案，共創架構、資安開放源碼及開放源碼的資安的發展，在台灣資通訊產業中，託管安全服務之發展關鍵在於建鏈，也就是如何透過商業模式驅動建構情資、服務與維運產業鏈，協作技術至關重要，對於Virtual Security as a Service可聚焦以下關鍵技術：

• 自動化與智慧化有助於資安服務的規格細粒化：SOC遇到最大挑戰在於毛利不高，人力成本過高是服務難以規格化的一個關鍵，而檢視全球MSSP，大都以雲端技術為核心，透過軟體定義(software-defined)的概念盡可能將資安服務自動化，同時以人工智慧輔助(AI-assisted)的技術，降低需資安專家探索威脅的成本。

• 共創分潤的情資分享模式讓資安新創活化：除了國際資安大廠，資安情資分析能量大多落於社群、新創或是學研機構，情資分享的商業模式以及所支撐的技術則是關鍵，例如：PolySwarm這家新創就採用區塊鏈的技術作爲情資分潤計算的基礎，資安新創可聚焦情資分析核心技術，並快速連結到產業鏈。

• 邊界防禦將朝向白牌化發展：就像Intel inside一樣，資安情資就有如電腦的CPU一樣，可搭載不同廠牌的硬體設備，網通設備廠商可基於開放源碼發展利基型的資安服務，例如：交通、工控等。

• 以資安晶片為核心的Authentication as a Service：End-to-End Security是5G網路一個重要的安全防護方式，Security IC如以PUF晶片作為中心，結合開放平台設計架構，發展出5G/IoT的資安認證框架，讓大量IoT裝置提升其安全性。

結語

根據MSSP Alert的分析，2019年全球前200大MSSP業者中，由資訊服務供應商跨足MSSP產業的公司比比皆是，以全球前10大的MSSP來說（IBM Managed Security Services、AT&T Cybersecurity及NTT...)，就涵蓋了系統整合商、電信商以及雲端服務供應商，成為MSSP的關鍵可能不只是資安技術的能量，更重要的是垂直領域資訊整合的能量，以及既有領域客戶的基礎，尤其資安威脅已從網路層蔓延至應用層，無論是IT電商網站或資料庫遭駭，或是在OT中實體隔離失效所衍生出的資安威脅，更遑論在5G專網環境多元且異質IT/OT/CT裝置，關鍵性會影響到Safety的資訊服務以及更高的傳輸技術規格需求，5G與數位轉型的市場越大，而帶來資安的商機則只會隨比率成長。開源軟體與社群是資安情資與服務發重要的養分，就定位的產業鏈則是驅動資安發展的重要關鍵，隨著全球在託管資安服務(MSSP)的發展下，基於Open Source發展資安關鍵技術，成為資安數位轉型的一個方向。