本文讲的是是时候实现 SOC 2.0 了,SOC,安全运营中心,为取得其最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。
早在几年前,企业就开始创建SOC来集中化威胁与漏洞的监视和响应。第一代SOC的目标,是集中管理、分析和响应来自多个不同边界和终端工具的警报与事件。操作员通常坐在特定工具控制台前,比如DLP,或者将所有日志收集到一个地方的SIEM工具前。另外的可视化与地图类屏幕也醒目地展示出来,供来访的高管们巡视。
SOC的诞生,是为了整合响应员工,强化各不同安全域之间的协作,更加容易地“抓住坏人”。然而,让员工手动分析成堆的数据,从孤立的事件和指标中寻找联系,被证明是低效、不可持续且令人难以承受的,尤其是在数据量持续暴增,而具备资格的分析师增长不足以弥补人才缺口的情况下。
另外,攻击也越来越复杂和不可检测,特别是我们缺乏更高级的机制以连接上不同传感器和行为数据,那就更加不可能检测出愈趋复杂的威胁了。
为跟上黑客的脚步,我们需要武装起操作员,让他们具备尽快决策并采取最有效行动的能力。
整合或集成不仅仅意味着将数据放进一个集中的地方,甚至全都弄到一个工具里。想要从SOC流过的海量数据中抽取出真正有意义的情报,就得把它们都套进一个统一的模型,将SOC的观点从孤立事件转变为互动实体。将所有这些数据以有意义的方式集成的关键,在于上下文的添加。
技术性事件数据缺乏业务和风险上下文,不能有效驱动优先化的响应。最终,我们的目标不是阻止每个攻击,或者响应来自每个传感器的每一个事件。正如业务连续性计划不追求(也无法)通过确保业务关键过程维持合适的可操作性,来防止所有可能的业务中断和进行风险管理;SOC的目标,就是缓解造成最大业务风险的那些风险因素。
将公司和信息资产上下文嵌入整合的数据模型,可为分析工具和人类操作员提供必要的业务上下文,以基于运营及财务视角看来的重要程度,优先化他们的响应操作。
人的因素是SOC运营最大的挑战。尽管我们都梦想通过完全自动化整个检测和响应过程,来解决技术人才短缺问题,在预见得到的未来,这事儿怕是不太可能梦想成真的。所以,当前的关注重点,应该放在使用机器学习、人工智能和自动化分析工具,来最小化SOC操作员工作所需的知识和手动操作上。这包括了使用行为和风险价值分析工具,来最小化误报,基于业务风险提供给操作员“下一步行动”指示,以及用最少的点击验证和弄懂已确认风险的一套机制。
让SOC操作员更有效工作的逻辑延伸,是为已验证的风险添加自动化响应选项。一旦分析师已经审查并核实了所发现威胁或漏洞的本质,他们应该能够通过点击按钮来采取自动化的行动。
无论公司拥有多少SOC操作员,他们不可能同时身处各方,也不可能完全掌握公司所有人员的具体情况。为取得SOC的最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。
无论是每个邮箱用户标记潜在网络钓鱼邮件,还是应用拥有者确认自身应用中的不正常行为,公司每个人都应被看做是SOC的信息渠道。这不意味着每个人都是SOC的一部分,但每个人都应该意识到网络风险,有能力告知SOC。
正如每个员工都能提供公司内可疑事件的情报,与其他公司以及政府合作,将提升自家公司预防攻击的可能性。来自供应商、第三方组织和政府信息中心的威胁情报,其共享与实施的增长,对正方的胜利愈加关键。
早期SOC是驯服网络安全这头野兽的关键第一步。就像其它任一关键业务运营一样,最佳实践脱胎于经验教训,而技术创新将更高效地最小化网络安全风险对商业的影响。
是时候实现 SOC 2.0 了!
原文发布时间为:二月 14, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/learn/22872.html
