對(duì)網(wǎng)絡(luò)罪犯來說，每個(gè)人都是攻擊目標(biāo)，而完美防御是不存在的。我們必須假定每家公司的IT基礎(chǔ)設(shè)施在某個(gè)時(shí)候都會(huì)被滲漏。所以我們得持續(xù)監(jiān)視、調(diào)查和響應(yīng)網(wǎng)絡(luò)威脅，全年無休，這樣才可以避免重大數(shù)據(jù)泄露事件和對(duì)公司聲譽(yù)、盈利及客戶信任的潛在傷害。

[[249474]]

而有什么方法是比設(shè)立安全運(yùn)營中心(SOC)更能提供持續(xù)監(jiān)視與分析的嗎?SOC的人員、過程和平臺(tái)可以針對(duì)整個(gè)企業(yè)的所有網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用及數(shù)據(jù)庫實(shí)現(xiàn)持續(xù)不斷的監(jiān)視，為檢測(cè)和挖掘潛在威脅提供專家知識(shí)。SOC的一個(gè)主要好處就是可以通過減少攻擊者的駐留時(shí)間來防止災(zāi)難性數(shù)據(jù)泄露影響。(駐留時(shí)間指的是從攻擊者入侵網(wǎng)絡(luò)到公司發(fā)現(xiàn)該入侵狀況之間的時(shí)間，攻擊者入侵網(wǎng)絡(luò)往往只需要幾分鐘，而公司企業(yè)卻可能幾個(gè)月后才發(fā)現(xiàn)被入侵了。)

一、成本和復(fù)雜性是主要障礙

無論從哪個(gè)角度看，SOC都是復(fù)雜而昂貴的設(shè)置。設(shè)立并維護(hù)SOC需要很多專業(yè)硬件及軟件來產(chǎn)生事件及警報(bào)，而這些事件和警報(bào)又需要聘用高級(jí)安全分析師進(jìn)行審查，才確定哪些代表著真正的威脅。

1. 平臺(tái)很貴。

想要獲得可見性基礎(chǔ)，適應(yīng)公司環(huán)境的安全信息與事件管理(SIEM)系統(tǒng)是必備，其他還有防火墻、IPS/IDS、漏洞評(píng)估工具、終端監(jiān)視解決方案等等。所有這些還都需要不斷饋送特定于公司目標(biāo)和風(fēng)險(xiǎn)承受力的威脅情報(bào)，其產(chǎn)生的結(jié)果還得經(jīng)機(jī)器學(xué)習(xí)增強(qiáng)和由人類專家微調(diào)。

2. 過程同樣不便宜。

需編寫詳細(xì)的特定于公司具體情況的操作手冊(cè)，闡明發(fā)生勒索軟件攻擊、惡意軟件感染、分布式拒絕服務(wù)(DDoS)攻擊或其他威脅時(shí)應(yīng)該做些什么。這些手冊(cè)具體規(guī)定了應(yīng)該怎么調(diào)查、收集哪些證據(jù)、何時(shí)需要升級(jí)以及如何升級(jí)。

3. 最貴的是人。

安全人才緊缺的情況是全球性的，具備持續(xù)監(jiān)測(cè)所需知識(shí)廣度和深度的高級(jí)安全分析師已經(jīng)很難雇到了，想組隊(duì)就更難了。而在人才爭(zhēng)奪戰(zhàn)愈演愈烈的情況下，想留住這些人才更是難上加難。

二、完整SOC：平臺(tái)、人員、過程

三、找出最佳路線

實(shí)現(xiàn)持續(xù)覆蓋的目標(biāo)不是簡(jiǎn)單的自己建還是直接買的決策，而更類似于決定是買還是租，或者是共同管理：自行打造SOC，外包SIEM(或SOC)平臺(tái)，或者使用共管SOC解決方案。

1. 構(gòu)建自己的SOC就好像買輛車從A地開到B地。

你得承受所有平臺(tái)、過程和人員開支，但你可以擁有對(duì)行進(jìn)方向和方式的完全控制權(quán)(比如自家公司認(rèn)為什么才是風(fēng)險(xiǎn)、威脅和響應(yīng))。當(dāng)然，成本和復(fù)雜性可能讓人望而卻步。

2. 外包SIEM或SOC平臺(tái)就好像租車。

不用購買硬件，但仍需自己執(zhí)行所有過程，必須雇傭、培訓(xùn)和留住你自己的SOC團(tuán)隊(duì)。這比自行打造SOC要便宜些，但開銷依然可觀。

3. 利用共管SOC解決方案就好像拼車到達(dá)目的地。

以經(jīng)驗(yàn)豐富的安全專家增強(qiáng)內(nèi)部團(tuán)隊(duì)，用成熟的過程驅(qū)動(dòng)強(qiáng)力SIEM平臺(tái)，而且還享有對(duì)最終目的地的控制權(quán)。共管SOC確保聯(lián)合團(tuán)隊(duì)協(xié)同運(yùn)作以實(shí)現(xiàn)客戶公司的安全目標(biāo)。

四、拼出個(gè)SOC

我們的目標(biāo)是從當(dāng)前的安全與合規(guī)狀態(tài)邁向更健壯的安全態(tài)勢(shì)、合規(guī)自信與事件準(zhǔn)備度。顯然，達(dá)成該目標(biāo)最具成本效益的方式就是通過共管SOC，也就是“拼”的方式。這么做可以最低的成本獲得最佳的人員、過程和平臺(tái)。不僅避免了人員和過程開銷，還保住了自家公司的特定需求：公司風(fēng)險(xiǎn)承受力、市場(chǎng)現(xiàn)實(shí)和公司重要事項(xiàng)的定義權(quán)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文