運(yùn)行一個(gè)更高效的IT安全操作中心:如何保持任務(wù)在目標(biāo)上

信息技術(shù)安全是企業(yè)每天處理的最重要的任務(wù)之一，隨著業(yè)務(wù)的發(fā)展，重新評估公司的安全運(yùn)營中心(SOC)是如何運(yùn)作的至關(guān)重要。 這意味著研究SOC是否配備了適當(dāng)?shù)娜藛T，它應(yīng)該在內(nèi)部運(yùn)行還是外包，并評估是否應(yīng)該引入更多的安全自動(dòng)化。 這也意味著看一些看起來很小的東西，比如SOC團(tuán)隊(duì)成員是否坐得足夠近（在大流行后的環(huán)境中），這樣他們就可以有效地合作來保護(hù)一家公司。 這是由行業(yè)安全領(lǐng)袖組成的獨(dú)立小組網(wǎng)絡(luò)復(fù)原力智囊團(tuán)在一份新的9頁報(bào)告“改變SOC：建設(shè)明天的安全行動(dòng)，今天”中提出的一些趨勢和建議。 該報(bào)告通過電子郵件和數(shù)據(jù)安全供應(yīng)商Mimecast發(fā)布，列出了戰(zhàn)略和問題，作為任何規(guī)模的組織工作，以創(chuàng)建或更新其SOC程序和保護(hù)。

對于任何企業(yè)來說，SOC都是由IT安全分析師和專家組成的團(tuán)隊(duì)，他們負(fù)責(zé)24/7監(jiān)測、評估和維護(hù)公司的安全操作，并管理網(wǎng)絡(luò)罪犯所針對的攻擊向量。 SOC團(tuán)隊(duì)與負(fù)責(zé)保護(hù)公司IT系統(tǒng)、數(shù)據(jù)和員工免受直接攻擊的日常職責(zé)的其他安全人員合作。 報(bào)告總結(jié)說，每個(gè)組織都是不同的，有不同的SOC需求，這意味著企業(yè)必須定期向內(nèi)看，并評估他們的SOC是如何從上到下保護(hù)他們的組織的。 報(bào)告指出，在人員配置方面，SOC辦公室可能總是處于擁有適當(dāng)數(shù)量的人員的邊緣，這些人員具有必要的安全資格，以做好他們的工作。 在整個(gè)商業(yè)世界，缺乏熟練的IT人員是成群結(jié)隊(duì)的，當(dāng)涉及到有足夠的IT安全人員時(shí)，這一點(diǎn)可能更加嚴(yán)重。

報(bào)告指出，一個(gè)答案是利用這一機(jī)會(huì)進(jìn)一步培訓(xùn)和提升現(xiàn)有工作人員，為他們提供額外教育，使他們掌握一個(gè)組織所需的技能。 總部位于非洲的金融服務(wù)提供商AbsaGroup的網(wǎng)絡(luò)安全運(yùn)營主管Claus Tepper說：“我們的主要?jiǎng)恿κ羌寄堋?“我認(rèn)為，南非和其他地方一樣，從根本上來說，要讓合適的人加入進(jìn)來是一個(gè)挑戰(zhàn)。” 為了幫助他的公司在他們已經(jīng)擁有的員工中找到所需的技能，Absa集團(tuán)開始了一所內(nèi)部學(xué)院，以發(fā)展和進(jìn)一步培訓(xùn)員工，以填補(bǔ)現(xiàn)有的IT安全漏洞。 報(bào)告指出，隨著企業(yè)的發(fā)展，評估現(xiàn)有的內(nèi)部SOC是否更適合外包以提高業(yè)務(wù)效率也是明智的。 當(dāng)然，情況并不總是如此，而且將取決于每個(gè)公司的需求和情況，但花時(shí)間進(jìn)行定期評估是明智的，可以幫助確保SOC的適當(dāng)結(jié)構(gòu)到位。 根據(jù)報(bào)告，關(guān)于SOC是否應(yīng)保持內(nèi)部或外包的決定是基于許多因素，包括業(yè)務(wù)需求、選擇第三方SOC服務(wù)提供商、公司的IT安全需求等。

報(bào)告總結(jié)說，當(dāng)外包在真正的網(wǎng)絡(luò)安全伙伴關(guān)系中成功完成時(shí)，外部SOC團(tuán)隊(duì)可以成為公司整體SOC戰(zhàn)略和運(yùn)營的重要合作伙伴。 然而，一個(gè)風(fēng)險(xiǎn)是，如果外包團(tuán)隊(duì)與其他IT人員不在同一辦公室，溝通或信任問題可能會(huì)發(fā)展為對業(yè)務(wù)有害的問題。

報(bào)告中強(qiáng)調(diào)的另一個(gè)趨勢是，通過擴(kuò)大可用于更好地保護(hù)公司IT資產(chǎn)的工具和策略，增加自動(dòng)化如何能夠幫助SOC工人和團(tuán)隊(duì)更加有效。 當(dāng)自動(dòng)化提前建立起來，在工作任務(wù)變得更重、更復(fù)雜之前，它就更有價(jià)值了。 CR智庫和漏洞風(fēng)險(xiǎn)管理供應(yīng)商Rapid7首席信息安全官Shawn Valle說：“軟件開發(fā)人員基于API構(gòu)建，然后在API之上構(gòu)建UI，這在SEC操作團(tuán)隊(duì)中是值得探索的。 “我們認(rèn)為，這種從一開始就建立自動(dòng)化的策略使分析人員變得更強(qiáng)大、更好，而不是使用更少的人?！?Cybereason公司的首席安全官薩姆？庫里(SamCurry)說，與此同時(shí)，公司不應(yīng)該只是自動(dòng)操作，而忽略了人的接觸。

“自動(dòng)化本身就是一種脆弱性，”庫里說。 “你必須以偽隨機(jī)間隔檢查你的盲點(diǎn)，看看誰藏在那里，因?yàn)闄C(jī)器將變得可預(yù)測，因此是可開發(fā)的。 因此，任務(wù)不是為了自動(dòng)化，而是使人類更有效，在不削弱整體的情況下提高其產(chǎn)出的價(jià)值。 報(bào)告還說，值得定期評估的是一家公司的SOC的細(xì)節(jié)，比如SOC分析師是否真的坐得足夠近，以提高部門的最大運(yùn)營效率。

在SOC團(tuán)隊(duì)成員位于辦公室的地方可以產(chǎn)生很大的差異，報(bào)告補(bǔ)充說，例如將技術(shù)和安全團(tuán)隊(duì)放置在彼此旁邊，以培養(yǎng)創(chuàng)造力、敏捷性和更好的溝通。 在另一個(gè)例子中，將SOC團(tuán)隊(duì)定位在產(chǎn)品團(tuán)隊(duì)旁邊可以促進(jìn)新的效率，并為工具構(gòu)建等創(chuàng)造新的想法。 不要忘記遠(yuǎn)程工作人員，他們也需要與內(nèi)部團(tuán)隊(duì)進(jìn)行良好和頻繁的溝通，以確保他們都符合團(tuán)隊(duì)的優(yōu)先事項(xiàng)和目標(biāo)。 當(dāng)涉及到定期檢查SOC部門和操作時(shí)，由于SOC的巨大安全效益，時(shí)間是值得努力的。 Mimecast安全意識(shí)和威脅情報(bào)產(chǎn)品高級副總裁兼總經(jīng)理Michael Madon說：“數(shù)據(jù)是SOC的命脈。 這些預(yù)防系統(tǒng)是SOC的關(guān)鍵數(shù)據(jù)源，以滿足其成功指標(biāo)、驅(qū)動(dòng)檢測和集成上下文，并能夠更快地阻止威脅。