信息來源:安全牛
成功的安全運營沒有捷徑,希望以下觀點能帶來幫助。
現(xiàn)代安全運營中心 (SOC) 面臨各種各樣的困難和挑戰(zhàn),問題范圍覆蓋組織架構層面和技術與預算等。第三方 SOC 可以擔起檢測和響應的工作,讓依靠他們的公司企業(yè)可以騰出手來專注提升內部安全運營。在與客戶攜手的運營之路上,以下六個 SOC 運營過程中的問題值得重視,如下:
1. SOC有了,沒有高端人才
形勢好的時候都難以招攬菁英 SOC 分析師,現(xiàn)在這種人才稀缺的成長型經濟條件下就更是難找了。公司企業(yè)需要聰明人看準威脅界面,解釋安全遙測數(shù)據(jù),找出并分析威脅。當今最新的人工智能 (AI) 和機器學習創(chuàng)新可幫助這些專業(yè)人士更有效操作。然而,技術本身永遠代替不了清楚公司特定環(huán)境和威脅的人才。公司企業(yè)需要部署恰當?shù)捻椖縼戆l(fā)現(xiàn)、培訓和留住菁英人才。
2. 不切實際的提升能力
急速提升 SOC 運營的想法滿是風險,很有可能會失敗。公司企業(yè)需花點時間分析自身優(yōu)勢,然后以此為基礎謀求發(fā)展。增量式改善總能勝過不切實際的 “宏偉” 計劃。
3. SOC與NOC缺乏協(xié)同
整合 SOC 與網(wǎng)絡運營中心 (NOC) 將極大提升整體運營狀況。NOC 管理、控制和監(jiān)視著網(wǎng)絡,負責可用性、備份、確保充足帶寬和處理網(wǎng)絡故障等事務。SOC 提供事件預防和安全威脅檢測與響應。這兩個職能有時候會有重疊,比如拒絕服務攻擊就有可能表現(xiàn)為網(wǎng)絡中斷,但實際上是安全威脅。雖然這兩項職能在組織架構上是獨立的,但他們需要協(xié)調運作才可以達成最佳效果。
4. 不清晰的目標
公司企業(yè)需對自己追求的目標和達成目標的途徑有著切合實際的清醒認知。第一步:獲得高層支持,然后確定開展工作所需的預算。這項工作涉及全面思考建立有效 SOC 所需部署的東西,包括人員、過程和技術。你可能還會面臨 “自己做還是直接買” 的決策——需要一個評估過程來確定達成公司特定目標的最佳方式。
5. 二三個人的錯覺
考慮公司面臨的安全困難,然后招募適當水平的員工來解決這些困難。將兩三名安全人員認為是 “我的 SOC” 并不是最佳解決方案。單憑幾個人無法提供有效安全運營所需的全天候覆蓋。而且,休息時段依賴電話告警存在風險,午夜警報傳呼可能叫不醒睡著的人。Gartner《2018 托管檢測與響應服務市場指南》建議,提供全天候覆蓋至少需要 8 到 12 名分析師。試想一下,如果員工都在家慶祝新年夜而無人盯著監(jiān)視器的時候有事件發(fā)生,會是個什么情況?
6. AI搞定一切
AI 解決不了公司所有安全問題,公司也無法自動化整個安全監(jiān)視過程。維持運作良好的 SOC 需要找出、培訓和留住有經驗的員工,這些員工能夠利用基于 AI 的高級工具,通過提供自動化過程能學習的反饋,來發(fā)現(xiàn)真正重要的威脅。找尋和留住這些人才的關鍵在于為他們提供各種各樣有意思、有難度的工作。