就安全運(yùn)營中心 (SOC) 而言，我們的網(wǎng)絡(luò)安全工具僅可企及工具使用者和 SOC 同行的水平。SOC 的關(guān)鍵作用是什么？我們雇用這些人員時(shí)應(yīng)考察哪些資質(zhì)？此外，您對網(wǎng)絡(luò)安全職業(yè)有哪些期望？

根據(jù)個(gè)人在 IBM Security 的 Managed Security Services SOC 的一些經(jīng)驗(yàn)，我提供了以下一些有關(guān)全球 SOC 如何按需進(jìn)行人員配備和組織的見解。

SOC 中的關(guān)鍵角色

確保用人得當(dāng)對于現(xiàn)代 SOC 的成功來說至關(guān)重要。公司 SOC 中的主要角色取決于公司計(jì)劃的成熟度以及公司的規(guī)模和預(yù)算。

我在 IBM 工作時(shí)，所合作的客戶都有一兩位安全人員且這些人員在組織內(nèi)都有多個(gè)“頭銜”。我還和 SOC 老手一起工作，這些人都有自己的 24/7 全天候運(yùn)營任務(wù)及固定的職責(zé)角色。

但是，我的大部分客戶都介于這二者之間。他們聘用全職員工擔(dān)任某些角色，并補(bǔ)充服務(wù)提供商以承擔(dān)其他角色，比如負(fù)責(zé)提供全天候“實(shí)時(shí)檢測”或作為“隨時(shí)待命”的事件響應(yīng)人員。

通常，角色以 SOC 的關(guān)鍵功能為中心：調(diào)查與分析、運(yùn)營與維護(hù)、工程與架構(gòu)、保護(hù)與防御、威脅情報(bào)，以及監(jiān)督與治理。

調(diào)查與分析

這些角色響應(yīng)觸發(fā)器，比如警報(bào)或可疑事件。這些角色可以基于技術(shù)（比如主機(jī)），也可以基于網(wǎng)絡(luò)或分層的技能/范圍（比如“分層 1”、“分層 2”）。這些角色包括：

· 安全分析師

· 事件響應(yīng)人員

· 事件管理人員

運(yùn)營和維護(hù)

這些角色是工具日常管理的關(guān)鍵。典型的職責(zé)包括管理設(shè)備運(yùn)行狀況、故障排除、版本管理和策略管理。這些角色包括：

· 設(shè)備管理員（防火墻、入侵防范系統(tǒng)、終端代理等）

· 安全工程師

工程與架構(gòu)

架構(gòu)師和工程角色是推進(jìn)和改進(jìn)安全操作的關(guān)鍵。這些角色可以是關(guān)聯(lián)工程師，負(fù)責(zé)編寫新用例、收集和運(yùn)行新日志。這些角色還可以是編寫定制工具的開發(fā)人員，或是幫助推薦和實(shí)施新工具的集成架構(gòu)師。這些角色包括：

· 開發(fā)人員

· 安全架構(gòu)師

· 安全工程師

保護(hù)與防御

這些角色在本質(zhì)上往往是主動的，有助于在威脅實(shí)施者趁機(jī)利用安全漏洞之前將其識別并改善安全狀況。這些角色包括：

· 威脅捕獲人員

· 漏洞管理人員

· 滲透測試人員

威脅情報(bào)

在某些情況下，威脅情報(bào)是唯一的 SOC 功能。在其他情況下，威脅情報(bào)會與其他角色結(jié)合在一起。Intel 分析師負(fù)責(zé)跟蹤威脅情況，包括可能以組織為目標(biāo)的威脅實(shí)施者和活動。在大多數(shù)情況下，情報(bào)分析師與工程師和架構(gòu)師密切合作，以確保提前部署恰當(dāng)?shù)牡臋z測工具。

· 威脅情報(bào)分析師

· 威脅研究分析師

監(jiān)督與治理

這些角色可以包括管理職位，以幫助制定策略、管理安全預(yù)算和保持合規(guī)性。這些角色包括：

· 合規(guī)官

· 安全意識和培訓(xùn)專業(yè)人員

· SOC 經(jīng)理

· 首席信息安全官

SOC 角色的變化

隨著網(wǎng)絡(luò)安全行業(yè)的發(fā)展，SOC 內(nèi)部的必要角色也發(fā)生了變化。我們正處于過渡期，各地的 SOC 都在力求從被動的、警報(bào)驅(qū)動的方法過渡到主動的“智能”方法，即向“SOC 2.0”邁進(jìn)。

警報(bào)疲勞也是 SOC 員工中真正的驅(qū)動力。它加劇了長期人員配備和人員保留的挑戰(zhàn)，也使人員短缺變得更嚴(yán)重。周而復(fù)始，SOC 在“雇用－培訓(xùn)－替換”的周期中不可自拔。隨著職業(yè)選擇的向上優(yōu)質(zhì)發(fā)展，SOC 要不斷地通過分析師來完成培訓(xùn)。這是一個(gè)不可持續(xù)的周期。

因此，越來越多的公司想要識別日常任務(wù)并實(shí)現(xiàn)自動化。SOAR（安全編排、自動化和響應(yīng)）平臺的熱度持續(xù)攀升，很多公司開始引入機(jī)器學(xué)習(xí)元素來進(jìn)行初始警報(bào)分類。

盡管大部分先前 L1 分析師的工作已實(shí)現(xiàn)自動化，但其余警報(bào)仍舊需要深入的分析技能。這也會導(dǎo)致 SOC 內(nèi)部角色的專業(yè)化得到提升，繼而推動對更高價(jià)值技能的需求，為員工職業(yè)發(fā)展帶來新機(jī)遇，同時(shí)也促進(jìn) SOC 整體向更成熟的方向發(fā)展。

SOC 2.0 時(shí)代的招聘

作為招聘經(jīng)理，我一般更看重個(gè)性特征而非技能，因?yàn)榧寄苁强梢越淌诘摹Ｅe例來說，我會在聘用分析師時(shí)優(yōu)先選擇生性好奇而且有熱情、有進(jìn)取心的人。這對于我來說比熟知特定工具或平臺更重要，因?yàn)檫@種特質(zhì)證明一個(gè)人會在無論所用工具如何的情況下，都擅于進(jìn)行分析和調(diào)查。我喜歡修補(bǔ)匠和實(shí)驗(yàn)者，尤其是那些已建立家庭實(shí)驗(yàn)室來檢測和搗鼓惡意軟件的應(yīng)聘者會更受歡迎。

對于高層職位，我會挑選經(jīng)驗(yàn)豐富且了解最佳實(shí)踐方法的人。舉例來說，要成為 Intel 分析師，就要先懂智能生命周期。通過研究行業(yè)框架（例如，MITRE ATT&CK），更好地了解對手的戰(zhàn)術(shù)、技巧和程序。要爭取獲得高技術(shù)認(rèn)證，比如進(jìn)攻性安全認(rèn)證專家或 GIAC 認(rèn)證的事件處理人員。

就更高層次而言，專業(yè)化是關(guān)鍵。我們還要能夠與其他利益相關(guān)者進(jìn)行互動并有效地進(jìn)行交流。一般來說，角色越高級，與客戶的互動就越頻繁。技術(shù)技能是必備的，但團(tuán)隊(duì)成員還必須能夠以合理方式向客戶傳達(dá)復(fù)雜的安全信息，并使客戶能夠就如何使用有限的資源來最大程度確保安全來制定最佳決策。

現(xiàn)實(shí)案例：Maze 勒索軟件

最終，任何 SOC 的目標(biāo)都是檢測、分析和響應(yīng)安全威脅。無論角色如何，SOC 的每個(gè)人都要始終牢記這一關(guān)鍵目標(biāo)，為此我們必須營造高度協(xié)作化的環(huán)境。

對此，大家會在查看我們 SOC 處理的近期威脅時(shí)有深切體會。Maze 勒索軟件就是一例。在數(shù)次交鋒之后，我們的 X-Force 事件響應(yīng)團(tuán)隊(duì)才逐漸了解 Maze 實(shí)施者是如何以泄露數(shù)據(jù)、刪除備份、加密文件并挾持泄露數(shù)據(jù)來進(jìn)行勒索的流程。他們的團(tuán)隊(duì)會在“恥辱之墻”上發(fā)布一些被盜的數(shù)據(jù)，來恐嚇受害者付款。

當(dāng)我們的事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)更多此類活動時(shí)，我們的情報(bào)團(tuán)隊(duì)會對威脅實(shí)施者有更深入的了解。在此基礎(chǔ)上，情報(bào)團(tuán)隊(duì)會將發(fā)現(xiàn)的信息告知威脅捕獲人員，由其開始主動進(jìn)行搜尋，繼而傳遞給關(guān)聯(lián)工程師，由其推出新檢測工具，繼而交予“實(shí)時(shí)檢測”監(jiān)視團(tuán)隊(duì)處理。這是現(xiàn)實(shí)的網(wǎng)絡(luò)威脅循環(huán)。 

作者簡介

[[376992]]

Miranda Ritchie

IBM Security 全球服務(wù)交付執(zhí)行官 

Miranda Ritchie 是 IBM Security 的全球服務(wù)交付執(zhí)行官，負(fù)責(zé)管理全球分析團(tuán)隊(duì)，通過集中優(yōu)質(zhì)人才來解決問題，為 IBM MSS 客戶提供高品質(zhì)的威脅防范和檢測服務(wù)。

* 現(xiàn)在即可訪問 IBM 安全專區(qū)，探索構(gòu)建更強(qiáng)大，更安全的 SOC 2.0 時(shí)代所需的技術(shù)。

歷史精彩文章推薦 >>>

 * 2021 SIEM 必看趨勢：如何選擇安全分析提供商

關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。