研究數據表明，安全運營中心(SOC)可以顯著推動企業(yè)的網絡安全計劃，這使SOC成為有效企業(yè)網絡安全計劃的基石。從平均總控制時間來看，非常成功的網絡安全企業(yè)與不那么成功的網絡安全企業(yè)相比，部署SOC的可能性高52%。

實際上，僅部署SOC就可將企業(yè)控制數據泄露事故的平均時間縮短近一半。

[[352258]]

但是，在評估安全運營中心的最佳做法方面，細節(jié)決定成?。壕W絡安全專家應該外包SOC功能還是內部開發(fā)?而且，如果他們選擇外包，選擇標準應該是什么?

外包的答案很大程度上取決于企業(yè)的規(guī)模及其管理SOC的方法。Nemertes Research發(fā)現，對于擁有內部管理的SOC的大型組織(擁有2500多名員工)，平均總控制時間得以改善50%，而那些將其SOC外包的公司發(fā)現，他們平均控制的總時間降低58%。對于規(guī)模較小的組織(少于2500名員工)，則遇到了完全相反的情況：使用外部管理的SOC的平均時間改進50%，使用自己內部的SOC的平均時間降低50%。

為什么較小型公司可從外包中受益

這個結果是合乎邏輯的。為確保全天候SOC，至少需要四到八名全職員工-每八小時輪班一名，再加上一名經理和一名后備人員。對于很多中小企業(yè)來說，這是沉重的負擔。SOC分析人員必須經過培訓，他們需要職業(yè)發(fā)展道路。此外，SOC分析師的倦怠是一個現實的問題-較小的公司可能缺乏應對資源。

盡管如此，決定外包只是第一步。Nemertes Research已定義企業(yè)在評估SOC提供商并確保安全運營中心最佳實踐時，應使用的五個關鍵選擇標準。

1. 運營模式

SOC提供商是主要集中于事件通知，還是在團隊擴展模式下工作并主動采取措施來響應事件?這里沒有正確的答案，但是這種響應會影響企業(yè)的網絡安全團隊的結構。如果SOC團隊僅將事件通知企業(yè)，則其內部網絡安全團隊需要培訓、工具和流程，以評估事件并采取適當行動，這通常描述在SOC運行手冊中—由IT開發(fā)的一套已定義的程序用于維護日常工作。

2. SOC運行手冊本身

無論由誰執(zhí)行(內部團隊還是SOC提供商)，運行手冊如何開發(fā)? SOC提供商是否有標準化運行手冊，可為每個客戶量身定制，還是客戶應計劃進行開發(fā)?

3. SOC提供商提供的服務組合

在第一、第二和第三級支持方面，提供商提供什么服務? SOC提供商是否提供主動或反應式服務，例如威脅搜尋、滲透測試或紅色或紫色的團隊練習?反應式服務是SOC提供商的重點。主動服務可使客戶減少對其他提供商的依賴，或幫助顯著加強其安全態(tài)勢。

4. SOC提供商依賴的工具和技術集

工具通常會破壞交易，特別是在企業(yè)需求與SOC提供商提供的內容不匹配的情況下。請務必提出以下問題： 提供商將使用客戶的工具，還是自己的工具? 誰擁有工具和軟件的許可?所有權和許可問題可能會增加SOC的成本和復雜性。 SOC提供商如何處理與客戶工具環(huán)境的集成?

5. 如何終止關系?

通常，由于終止關系的復雜性和成本，客戶被鎖定在供應商。避免這種情況的最好方法是預先了解流程。

總結來看，較小型公司幾乎肯定應該利用SOC服務。他們應該對提供商進行全面評估，重點是了解其運營模型，包括運行手冊的開發(fā);服務組合;工具和技術;和終止程序。通過適當注意這些安全運營中心的最佳做法標準，較小的公司可以顯著改善其網絡安全運營指標。