安全運營中心:是買,是租,還是拼?
對網絡罪犯來說,每個人都是攻擊目標,而完美防御是不存在的。我們必須假定每家公司的IT基礎設施在某個時候都會被滲漏。所以我們得持續監視、調查和響應網絡威脅,全年無休,這樣才可以避免重大數據泄露事件和對公司聲譽、盈利及客戶信任的潛在傷害。
而有什么方法是比設立安全運營中心(SOC)更能提供持續監視與分析的嗎?SOC的人員、過程和平臺可以針對整個企業的所有網絡、服務器、終端、應用及數據庫實現持續不斷的監視,為檢測和挖掘潛在威脅提供專家知識。SOC的一個主要好處就是可以通過減少攻擊者的駐留時間來防止災難性數據泄露影響。(駐留時間指的是從攻擊者入侵網絡到公司發現該入侵狀況之間的時間,攻擊者入侵網絡往往只需要幾分鐘,而公司企業卻可能幾個月后才發現被入侵了。)
一、成本和復雜性是主要障礙
無論從哪個角度看,SOC都是復雜而昂貴的設置。設立并維護SOC需要很多專業硬件及軟件來產生事件及警報,而這些事件和警報又需要聘用高級安全分析師進行審查,才確定哪些代表著真正的威脅。
1. 平臺很貴。
想要獲得可見性基礎,適應公司環境的安全信息與事件管理(SIEM)系統是必備,其他還有防火墻、IPS/IDS、漏洞評估工具、終端監視解決方案等等。所有這些還都需要不斷饋送特定于公司目標和風險承受力的威脅情報,其產生的結果還得經機器學習增強和由人類專家微調。
2. 過程同樣不便宜。
需編寫詳細的特定于公司具體情況的操作手冊,闡明發生勒索軟件攻擊、惡意軟件感染、分布式拒絕服務(DDoS)攻擊或其他威脅時應該做些什么。這些手冊具體規定了應該怎么調查、收集哪些證據、何時需要升級以及如何升級。
3. 最貴的是人。
安全人才緊缺的情況是全球性的,具備持續監測所需知識廣度和深度的高級安全分析師已經很難雇到了,想組隊就更難了。而在人才爭奪戰愈演愈烈的情況下,想留住這些人才更是難上加難。
二、完整SOC:平臺、人員、過程
三、找出最佳路線
實現持續覆蓋的目標不是簡單的自己建還是直接買的決策,而更類似于決定是買還是租,或者是共同管理:自行打造SOC,外包SIEM(或SOC)平臺,或者使用共管SOC解決方案。
1. 構建自己的SOC就好像買輛車從A地開到B地。
你得承受所有平臺、過程和人員開支,但你可以擁有對行進方向和方式的完全控制權(比如自家公司認為什么才是風險、威脅和響應)。當然,成本和復雜性可能讓人望而卻步。
2. 外包SIEM或SOC平臺就好像租車。
不用購買硬件,但仍需自己執行所有過程,必須雇傭、培訓和留住你自己的SOC團隊。這比自行打造SOC要便宜些,但開銷依然可觀。
3. 利用共管SOC解決方案就好像拼車到達目的地。
以經驗豐富的安全專家增強內部團隊,用成熟的過程驅動強力SIEM平臺,而且還享有對最終目的地的控制權。共管SOC確保聯合團隊協同運作以實現客戶公司的安全目標。
四、拼出個SOC
我們的目標是從當前的安全與合規狀態邁向更健壯的安全態勢、合規自信與事件準備度。顯然,達成該目標最具成本效益的方式就是通過共管SOC,也就是“拼”的方式。這么做可以最低的成本獲得最佳的人員、過程和平臺。不僅避免了人員和過程開銷,還保住了自家公司的特定需求:公司風險承受力、市場現實和公司重要事項的定義權。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
