SOC，安全運(yùn)營中心，為取得其最佳效果，以及真正最小化網(wǎng)絡(luò)風(fēng)險(xiǎn)，需要全員就位，讓安全成為每個(gè)人的責(zé)任。

[[183455]]

早在幾年前，企業(yè)就開始創(chuàng)建SOC來集中化威脅與漏洞的監(jiān)視和響應(yīng)。第一代SOC的目標(biāo)，是集中管理、分析和響應(yīng)來自多個(gè)不同邊界和終端工具的警報(bào)與事件。操作員通常坐在特定工具控制臺(tái)前，比如DLP，或者將所有日志收集到一個(gè)地方的SIEM工具前。另外的可視化與地圖類屏幕也醒目地展示出來，供來訪的高管們巡視。

SOC的誕生，是為了整合響應(yīng)員工，強(qiáng)化各不同安全域之間的協(xié)作，更加容易地“抓住壞人”。然而，讓員工手動(dòng)分析成堆的數(shù)據(jù)，從孤立的事件和指標(biāo)中尋找聯(lián)系，被證明是低效、不可持續(xù)且令人難以承受的，尤其是在數(shù)據(jù)量持續(xù)暴增，而具備資格的分析師增長(zhǎng)不足以彌補(bǔ)人才缺口的情況下。

另外，攻擊也越來越復(fù)雜和不可檢測(cè)，特別是我們?nèi)狈Ω呒?jí)的機(jī)制以連接上不同傳感器和行為數(shù)據(jù)，那就更加不可能檢測(cè)出愈趨復(fù)雜的威脅了。

為跟上黑客的腳步，我們需要武裝起操作員，讓他們具備盡快決策并采取最有效行動(dòng)的能力。

整合或集成不僅僅意味著將數(shù)據(jù)放進(jìn)一個(gè)集中的地方，甚至全都弄到一個(gè)工具里。想要從SOC流過的海量數(shù)據(jù)中抽取出真正有意義的情報(bào)，就得把它們都套進(jìn)一個(gè)統(tǒng)一的模型，將SOC的觀點(diǎn)從孤立事件轉(zhuǎn)變?yōu)榛?dòng)實(shí)體。將所有這些數(shù)據(jù)以有意義的方式集成的關(guān)鍵，在于上下文的添加。

技術(shù)性事件數(shù)據(jù)缺乏業(yè)務(wù)和風(fēng)險(xiǎn)上下文，不能有效驅(qū)動(dòng)優(yōu)先化的響應(yīng)。最終，我們的目標(biāo)不是阻止每個(gè)攻擊，或者響應(yīng)來自每個(gè)傳感器的每一個(gè)事件。正如業(yè)務(wù)連續(xù)性計(jì)劃不追求(也無法)通過確保業(yè)務(wù)關(guān)鍵過程維持合適的可操作性，來防止所有可能的業(yè)務(wù)中斷和進(jìn)行風(fēng)險(xiǎn)管理;SOC的目標(biāo)，就是緩解造成最大業(yè)務(wù)風(fēng)險(xiǎn)的那些風(fēng)險(xiǎn)因素。

將公司和信息資產(chǎn)上下文嵌入整合的數(shù)據(jù)模型，可為分析工具和人類操作員提供必要的業(yè)務(wù)上下文，以基于運(yùn)營及財(cái)務(wù)視角看來的重要程度，優(yōu)先化他們的響應(yīng)操作。

人的因素是SOC運(yùn)營最大的挑戰(zhàn)。盡管我們都?jí)粝胪ㄟ^完全自動(dòng)化整個(gè)檢測(cè)和響應(yīng)過程，來解決技術(shù)人才短缺問題，在預(yù)見得到的未來，這事兒怕是不太可能夢(mèng)想成真的。所以，當(dāng)前的關(guān)注重點(diǎn)，應(yīng)該放在使用機(jī)器學(xué)習(xí)、人工智能和自動(dòng)化分析工具，來最小化SOC操作員工作所需的知識(shí)和手動(dòng)操作上。這包括了使用行為和風(fēng)險(xiǎn)價(jià)值分析工具，來最小化誤報(bào)，基于業(yè)務(wù)風(fēng)險(xiǎn)提供給操作員“下一步行動(dòng)”指示，以及用最少的點(diǎn)擊驗(yàn)證和弄懂已確認(rèn)風(fēng)險(xiǎn)的一套機(jī)制。

讓SOC操作員更有效工作的邏輯延伸，是為已驗(yàn)證的風(fēng)險(xiǎn)添加自動(dòng)化響應(yīng)選項(xiàng)。一旦分析師已經(jīng)審查并核實(shí)了所發(fā)現(xiàn)威脅或漏洞的本質(zhì)，他們應(yīng)該能夠通過點(diǎn)擊按鈕來采取自動(dòng)化的行動(dòng)。

無論公司擁有多少SOC操作員，他們不可能同時(shí)身處各方，也不可能完全掌握公司所有人員的具體情況。為取得SOC的最佳效果，以及真正最小化網(wǎng)絡(luò)風(fēng)險(xiǎn)，需要全員就位，讓安全成為每個(gè)人的責(zé)任。

無論是每個(gè)郵箱用戶標(biāo)記潛在網(wǎng)絡(luò)釣魚郵件，還是應(yīng)用擁有者確認(rèn)自身應(yīng)用中的不正常行為，公司每個(gè)人都應(yīng)被看做是SOC的信息渠道。這不意味著每個(gè)人都是SOC的一部分，但每個(gè)人都應(yīng)該意識(shí)到網(wǎng)絡(luò)風(fēng)險(xiǎn)，有能力告知SOC。

正如每個(gè)員工都能提供公司內(nèi)可疑事件的情報(bào)，與其他公司以及政府合作，將提升自家公司預(yù)防攻擊的可能性。來自供應(yīng)商、第三方組織和政府信息中心的威脅情報(bào)，其共享與實(shí)施的增長(zhǎng)，對(duì)正方的勝利愈加關(guān)鍵。

早期SOC是馴服網(wǎng)絡(luò)安全這頭野獸的關(guān)鍵第一步。就像其它任一關(guān)鍵業(yè)務(wù)運(yùn)營一樣，最佳實(shí)踐脫胎于經(jīng)驗(yàn)教訓(xùn)，而技術(shù)創(chuàng)新將更高效地最小化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)商業(yè)的影響。

是時(shí)候?qū)崿F(xiàn) SOC 2.0 了!