SOC的优点、缺点和挑战
nana
数世咨询
数世咨询
微信号
dwconcn
功能介绍
中国数字产业领域中立的第三方调研机构,提供网络安全行业的调查、研究与咨询服务。
发表于
收录于合集
本文作者:George Gerchow,数据分析公司Sumo Logic首席信息安全官。
安全运营中心(SOC)负责维护公司基础设施、应用和数据的安全。大中型企业的应用数量庞大,其SOC全天候监控系统状态,实时查验系统是否安全。
然而,SOC管理可能并非易事:即使在最好的情况下,当前存在的大量威胁和不断袭来的种种攻击,也会使维持安全变得困难重重。而在现实世界中,情况更加糟糕。面对新冠疫情规划和比之前更多的线上活动,由于要处理的数据量庞大,需远程办公的员工数量增多,以及长期存在的安全人才短缺状况,每个SOC团队几乎都疲于应付,压力山大。
而压力又会影响SOC团队的工作表现,降低其工作效率。一旦入站警报和数据的规模大到不堪重负,SOC可能就根本无法正常运转了。下面我们就来综合考虑一下SOC的优点、缺点和挑战。
优点:从更多源获取更多数据可改善SOC效能
IT安全团队运营通过SOC的方式,也就是从部署的安全产品获取并整合数据:从边界防火墙和IDS/IPS产品,直到Web应用防火墙(WAF)、网络监控和其他现有解决方案。安全信息与事件管理(SIEM)解决方案将来自不同产品的数据汇集在一起,理论上可帮助SOC分析师更快地调查潜在问题。
上述过程同样适用于今天的云应用。将数据集整合到一起,有助于团队查看潜在缺陷和遭到的攻击。但是,向云端迁移会产生更多数据:除了云基础设施自身的数据,各应用程序组件也将增多,而且寿命可能更为短暂。使用微服务构建应用,以及采用软件容器大规模托管应用,意味着数据量已大幅增长。所有这些数据都有助于更快洞察潜在的风险和攻击,从而提升公司企业应对威胁的能力。
缺点:处理数据需要依赖更多的人员和技能
面对这诸多数据,管理问题浮现:传统SIEM系统无法扩展,也不足以管理如此庞大的数据量。但云原生应用,如云SIEM,或许有所帮助。采用基于云的安全和监视工具跟踪云应用程序,意味着系统架构可以按需有效扩展。
有些应用不通过传统VPN访问,而是员工直接在云端远程使用。想要获得这些应用程序的数据,也并不容易。此类应用种类繁多,包括Office 365、Workday或Google Suite,更别提还有开发人员使用AWS、Azure和Google Cloud Platform(谷歌云平台)之类的了。所有这些服务都可能持有关键数据,但因设置不当而导致的任何错误配置,都可能引发数据丢失。想要获取此类信息并有效运用,就需要以全新方式收集信息。
然而,信息收集方面的问题更大,而且这与人员和技能相关,而非单纯的技术问题。根据Dimensional Research最近的一项调查,大约70%的企业IT安全团队承认,须管理的安全警报数量五年间增加了一倍多,而83%的企业表示其安全人员遭遇了“警报疲劳”。
由于团队目前没有足够的员工,警报响应也变得更加棘手:75%的受访企业报告称,需要三名或三名以上的安全分析人员,才能在入站当天处理完所有警报。
除此之外,云原生应用和云安全领域也缺乏人手。寻找具备合适技能的人来填补现有职位空缺可能要花费数月时间,在此期间,现有SOC团队成员将承受更大压力。因此,为SOC分析人员设置合适的支持流程,帮助他们管理工作负载,就与技术投资一样重要了。
挑战:为工作所涉全部数据设置正确流程
SOC环境中,安全分析方面有一定的自动化空间。然而,随时间流逝,自动化本就不良的过程可能会催生更多问题。这么做甚至会令SOC环境更加糟糕,因为可能会清除掉最需要的监控,或者带来由可用数据引发的效能下降。尽管任何实现初期都会存在误报或各种问题,但SOC实现应能快速改进,并显示出对业务的价值。
因此,有必要仔细考虑清楚当前如何管理安全分析师,他们要处理哪些工作流,以及可以在哪些方面帮助安全分析师提高工作效率。一旦不够仔细,SOC团队就可能将精力放在错误的地方,事倍而功半。团队成员需接受如何提高SOC环境中工作效率的培训,同时,还应该了解自身角色和职责在公司整体风险管理方法中起到的作用。
自动化有助于充分发挥团队成员的聪明才智,帮助团队成员专注于更高价值的事务,而不是将精力浪费在机械重复的任务,或手动检查数据这类繁琐耗时的事务上。对于自动化程度高的团队来说,如今处理大量警报更为容易了。Dimensional Research报告显示,自动化程度较高的团队中有65%声称能够在一天内解决大多数安全警报,而当前自动化程度较低的企业则只有34%能够在当天处理完大部分警报。
然而,实现这一点本身可能就是个困难的过程。这意味着要仔细分析公司当前的团队,了解他们的工作方式,弄清在哪些地方需要改变工作流程。对于习惯以特定方式工作,或必须变动优先级的团队而言,这可能很难。因为涉及质疑之前设立的目标,这一变更过程本身可能就令人难以接受。对于习惯在高压环境中以工作论英雄的团队,改变工作流程也可能颇具挑战。
不过,随着时间推移,结果终将向着好的方向发展,团队会因能够专注比之前更加快速有效地达成目标,而提升工作满意度。以此为最终结果,并确保团队所有成员都理解这一点,是正确自动化的最终目标。
未来
越来越多的应用和服务向云端迁移,SOC环境也须更为自动化,更能处理云原生数据。从重新考虑SIEM和云方法,到设置新的目标和实现更多自动化过程,其间挑战不可谓不大。但是,这些改变对于令SOC团队在将来有效发挥作用至关重要。
关键词:SOC
相关链接
调查:内部分工问题是SOC效率的头号杀手
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消
允许
取消
允许
:
,
。
视频
小程序
赞
,轻点两下取消赞
在看
,轻点两下取消在看