信息來源:安全牛
成功的安全運營沒有捷徑���,希望以下觀點能帶來幫助����。
現(xiàn)代安全運營中心 (SOC) 面臨各種各樣的困難和挑戰(zhàn)���,問題范圍覆蓋組織架構(gòu)層面和技術(shù)與預(yù)算等���。第三方 SOC 可以擔(dān)起檢測和響應(yīng)的工作��,讓依靠他們的公司企業(yè)可以騰出手來專注提升內(nèi)部安全運營��。在與客戶攜手的運營之路上��,以下六個 SOC 運營過程中的問題值得重視����,如下:
1. SOC有了���,沒有高端人才
形勢好的時候都難以招攬菁英 SOC 分析師�,現(xiàn)在這種人才稀缺的成長型經(jīng)濟條件下就更是難找了�。公司企業(yè)需要聰明人看準(zhǔn)威脅界面,解釋安全遙測數(shù)據(jù)�,找出并分析威脅。當(dāng)今最新的人工智能 (AI) 和機器學(xué)習(xí)創(chuàng)新可幫助這些專業(yè)人士更有效操作�。然而,技術(shù)本身永遠代替不了清楚公司特定環(huán)境和威脅的人才����。公司企業(yè)需要部署恰當(dāng)?shù)捻椖縼戆l(fā)現(xiàn)、培訓(xùn)和留住菁英人才�。
2. 不切實際的提升能力
急速提升 SOC 運營的想法滿是風(fēng)險,很有可能會失敗。公司企業(yè)需花點時間分析自身優(yōu)勢��,然后以此為基礎(chǔ)謀求發(fā)展�����。增量式改善總能勝過不切實際的 “宏偉” 計劃���。
3. SOC與NOC缺乏協(xié)同
整合 SOC 與網(wǎng)絡(luò)運營中心 (NOC) 將極大提升整體運營狀況�。NOC 管理���、控制和監(jiān)視著網(wǎng)絡(luò),負責(zé)可用性���、備份����、確保充足帶寬和處理網(wǎng)絡(luò)故障等事務(wù)���。SOC 提供事件預(yù)防和安全威脅檢測與響應(yīng)��。這兩個職能有時候會有重疊�,比如拒絕服務(wù)攻擊就有可能表現(xiàn)為網(wǎng)絡(luò)中斷�,但實際上是安全威脅�����。雖然這兩項職能在組織架構(gòu)上是獨立的��,但他們需要協(xié)調(diào)運作才可以達成最佳效果����。
4. 不清晰的目標(biāo)
公司企業(yè)需對自己追求的目標(biāo)和達成目標(biāo)的途徑有著切合實際的清醒認知����。第一步:獲得高層支持,然后確定開展工作所需的預(yù)算�����。這項工作涉及全面思考建立有效 SOC 所需部署的東西��,包括人員����、過程和技術(shù)。你可能還會面臨 “自己做還是直接買” 的決策——需要一個評估過程來確定達成公司特定目標(biāo)的最佳方式�����。
5. 二三個人的錯覺
考慮公司面臨的安全困難,然后招募適當(dāng)水平的員工來解決這些困難����。將兩三名安全人員認為是 “我的 SOC” 并不是最佳解決方案。單憑幾個人無法提供有效安全運營所需的全天候覆蓋��。而且�����,休息時段依賴電話告警存在風(fēng)險���,午夜警報傳呼可能叫不醒睡著的人��。Gartner《2018 托管檢測與響應(yīng)服務(wù)市場指南》建議,提供全天候覆蓋至少需要 8 到 12 名分析師���。試想一下���,如果員工都在家慶祝新年夜而無人盯著監(jiān)視器的時候有事件發(fā)生,會是個什么情況����?
6. AI搞定一切
AI 解決不了公司所有安全問題���,公司也無法自動化整個安全監(jiān)視過程。維持運作良好的 SOC 需要找出����、培訓(xùn)和留住有經(jīng)驗的員工,這些員工能夠利用基于 AI 的高級工具��,通過提供自動化過程能學(xué)習(xí)的反饋����,來發(fā)現(xiàn)真正重要的威脅。找尋和留住這些人才的關(guān)鍵在于為他們提供各種各樣有意思�����、有難度的工作��。
