SOC,安全运营中心,为取得其最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。


是时候实现 SOC 2.0 了_java


早在几年前,企业就开始创建SOC来集中化威胁与漏洞的监视和响应。第一代SOC的目标,是集中管理、分析和响应来自多个不同边界和终端工具的警报与事件。操作员通常坐在特定工具控制台前,比如DLP,或者将所有日志收集到一个地方的SIEM工具前。另外的可视化与地图类屏幕也醒目地展示出来,供来访的高管们巡视。


SOC的诞生,是为了整合响应员工,强化各不同安全域之间的协作,更加容易地“抓住坏人”。然而,让员工手动分析成堆的数据,从孤立的事件和指标中寻找联系,被证明是低效、不可持续且令人难以承受的,尤其是在数据量持续暴增,而具备资格的分析师增长不足以弥补人才缺口的情况下。


另外,攻击也越来越复杂和不可检测,特别是我们缺乏更高级的机制以连接上不同传感器和行为数据,那就更加不可能检测出愈趋复杂的威胁了。


为跟上黑客的脚步,我们需要武装起操作员,让他们具备尽快决策并采取最有效行动的能力。


整合或集成不仅仅意味着将数据放进一个集中的地方,甚至全都弄到一个工具里。想要从SOC流过的海量数据中抽取出真正有意义的情报,就得把它们都套进一个统一的模型,将SOC的观点从孤立事件转变为互动实体。将所有这些数据以有意义的方式集成的关键,在于上下文的添加。


技术性事件数据缺乏业务和风险上下文,不能有效驱动优先化的响应。最终,我们的目标不是阻止每个攻击,或者响应来自每个传感器的每一个事件。正如业务连续性计划不追求(也无法)通过确保业务关键过程维持合适的可操作性,来防止所有可能的业务中断和进行风险管理;SOC的目标,就是缓解造成最大业务风险的那些风险因素。


将公司和信息资产上下文嵌入整合的数据模型,可为分析工具和人类操作员提供必要的业务上下文,以基于运营及财务视角看来的重要程度,优先化他们的响应操作。


人的因素是SOC运营最大的挑战。尽管我们都梦想通过完全自动化整个检测和响应过程,来解决技术人才短缺问题,在预见得到的未来,这事儿怕是不太可能梦想成真的。所以,当前的关注重点,应该放在使用机器学习、人工智能和自动化分析工具,来最小化SOC操作员工作所需的知识和手动操作上。这包括了使用行为和风险价值分析工具,来最小化误报,基于业务风险提供给操作员“下一步行动”指示,以及用最少的点击验证和弄懂已确认风险的一套机制。


让SOC操作员更有效工作的逻辑延伸,是为已验证的风险添加自动化响应选项一旦分析师已经审查并核实了所发现威胁或漏洞的本质,他们应该能够通过点击按钮来采取自动化的行动。


无论公司拥有多少SOC操作员,他们不可能同时身处各方,也不可能完全掌握公司所有人员的具体情况。为取得SOC的最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。


无论是每个邮箱用户标记潜在网络钓鱼邮件,还是应用拥有者确认自身应用中的不正常行为,公司每个人都应被看做是SOC的信息渠道。这不意味着每个人都是SOC的一部分,但每个人都应该意识到网络风险,有能力告知SOC。


正如每个员工都能提供公司内可疑事件的情报,与其他公司以及政府合作,将提升自家公司预防攻击的可能性。来自供应商、第三方组织和政府信息中心的威胁情报,其共享与实施的增长,对正方的胜利愈加关键。


早期SOC是驯服网络安全这头野兽的关键第一步。就像其它任一关键业务运营一样,最佳实践脱胎于经验教训,而技术创新将更高效地最小化网络安全风险对商业的影响。


是时候实现 SOC 2.0 了!


是时候实现 SOC 2.0 了_java_02