如何避免踩到 SOC 运营中的六个“大坑”
星期三, 十月 23, 2019
成功的安全运营没有捷径,希望以下观点能带来帮助。
现代安全运营中心 (SOC) 面临各种各样的困难和挑战,问题范围覆盖组织架构层面和技术与预算等。第三方 SOC 可以担起检测和响应的工作,让依靠他们的公司企业可以腾出手来专注提升内部安全运营。在与客户携手的运营之路上,以下六个 SOC 运营过程中的问题值得重视:
形势好的时候都难以招揽菁英 SOC 分析师,现在这种人才稀缺的成长型经济条件下就更是难找了。公司企业需要聪明人看准威胁界面,解释安全遥测数据,找出并分析威胁。当今最新的人工智能 (AI) 和机器学习创新可帮助这些专业人士更有效操作。然而,技术本身永远代替不了清楚公司特定环境和威胁的人才。公司企业需要部署恰当的项目来发现、培训和留住菁英人才。
急速提升 SOC 运营的想法满是风险,很有可能会失败。公司企业需花点时间分析自身优势,然后以此为基础谋求发展。增量式改善总能胜过不切实际的 “宏伟” 计划。
整合 SOC 与网络运营中心 (NOC) 将极大提升整体运营状况。NOC 管理、控制和监视着网络,负责可用性、备份、确保充足带宽和处理网络故障等事务。SOC 提供事件预防和安全威胁检测与响应。这两个职能有时候会有重叠,比如拒绝服务攻击就有可能表现为网络中断,但实际上是安全威胁。虽然这两项职能在组织架构上是独立的,但他们需要协调运作才可以达成最佳效果。
公司企业需对自己追求的目标和达成目标的途径有着切合实际的清醒认知。第一步:获得高层支持,然后确定开展工作所需的预算。这项工作涉及全面思考建立有效 SOC 所需部署的东西,包括人员、过程和技术。你可能还会面临 “自己做还是直接买” 的决策——需要一个评估过程来确定达成公司特定目标的最佳方式。
考虑公司面临的安全困难,然后招募适当水平的员工来解决这些困难。将两三名安全人员认为是 “我的 SOC” 并不是最佳解决方案。单凭几个人无法提供有效安全运营所需的全天候覆盖。而且,休息时段依赖电话告警存在风险,午夜警报传呼可能叫不醒睡着的人。Gartner《2018 托管检测与响应服务市场指南》建议,提供全天候覆盖至少需要 8 到 12 名分析师。试想一下,如果员工都在家庆祝新年夜而无人盯着监视器的时候有事件发生,会是个什么情况?
AI 解决不了公司所有安全问题,公司也无法自动化整个安全监视过程。维持运作良好的 SOC 需要找出、培训和留住有经验的员工,这些员工能够利用基于 AI 的高级工具,通过提供自动化过程能学习的反馈,来发现真正重要的威胁。找寻和留住这些人才的关键在于为他们提供各种各样有意思、有难度的工作。
相关阅读