數(shù)據(jù)可為企業(yè)提供釋放全部潛力所需的優(yōu)勢。反過來，員工希望訪問數(shù)據(jù)，以推動(dòng)更好的客戶成效、提高效率并增加利潤。隨著這些訪問需求的增加，對匹配數(shù)據(jù)安全控制的需求也隨之增加。

對于現(xiàn)代企業(yè)而言，遷移到云端，釋放其全部潛力（增加優(yōu)勢、降低成本和擴(kuò)大規(guī)模）已成為一項(xiàng)戰(zhàn)略舉措。由此帶來的結(jié)果就是 IT 基礎(chǔ)架構(gòu)正在經(jīng)歷快速的變化。曾經(jīng)被屏蔽的數(shù)據(jù)現(xiàn)在面臨的是逐漸消退的邊界，這使得云端的數(shù)據(jù)保護(hù)成為一個(gè)至關(guān)重要的問題。

令人遺憾的事實(shí)是，由于這種增長帶來的變化是如此巨大，導(dǎo)致我們已經(jīng)無法再采用舊的數(shù)據(jù)保護(hù)方法。如果不適應(yīng)這種變化，實(shí)體將無法在威脅對業(yè)務(wù)造成破壞之前發(fā)現(xiàn)并響應(yīng)威脅。

那么，如何解決這一難題？最近，我與 IBM Security 的三位專家就如何實(shí)現(xiàn)安全運(yùn)營中心 (SOC) 的現(xiàn)代化展開了討論。他們的建議強(qiáng)調(diào)了 SOC 可通過結(jié)合數(shù)據(jù)安全的不同元素進(jìn)行優(yōu)化的三個(gè)領(lǐng)域，即人員、流程和技術(shù)。

聯(lián)合數(shù)據(jù)安全團(tuán)隊(duì)和 SOC 團(tuán)隊(duì)

為了讓企業(yè)及其客戶與合作伙伴能夠安全地進(jìn)行良好合作，必須就正確的數(shù)據(jù)訪問級別奠定一個(gè)堅(jiān)實(shí)的基礎(chǔ)。打破 SOC 團(tuán)隊(duì)與數(shù)據(jù)安全專家之間的壁壘是奠定這種基礎(chǔ)的關(guān)鍵。

隨著數(shù)據(jù)在不同團(tuán)隊(duì)之間移動(dòng)，我們應(yīng)“在數(shù)據(jù)安全團(tuán)隊(duì)與 SOC 之間制定一個(gè)共同的控制計(jì)劃，讓他們能夠從根本上、真正地作為一個(gè)團(tuán)隊(duì)開展工作并分享洞察力，”IBM Security 威脅管理產(chǎn)品管理與戰(zhàn)略總監(jiān) Chris Meenan 說道。

SOC 需要數(shù)據(jù)的實(shí)時(shí)洞察力，包括跟蹤誰應(yīng)該擁有數(shù)據(jù)訪問權(quán)以及檢測環(huán)境中的異常行為。如果沒有筒倉阻隔，數(shù)據(jù)安全團(tuán)隊(duì)就能在 SOC 檢測到威脅時(shí)迅速采取行動(dòng)。

打破數(shù)據(jù)與安全之間的壁壘可以從小組成效的共同信念開始。

IBM Security 數(shù)據(jù)安全產(chǎn)品管理項(xiàng)目總監(jiān) Reed Shea 說道：“在日常確保系統(tǒng)正常運(yùn)行的過程中，很容易迷失方向。”

相反，您應(yīng)該關(guān)注數(shù)據(jù)庫管理員和 SOC 分析人員可能共有的常見問題：系統(tǒng)的機(jī)密性、完整性和可用性；監(jiān)管限制和主動(dòng)合規(guī)；確保合適的人可以訪問合適的數(shù)據(jù)等。當(dāng)與 SOC 的同事一起工作時(shí)，數(shù)據(jù)庫管理員可能不確定如何對這些項(xiàng)目進(jìn)行排序。Shea 提供了有關(guān)如何將數(shù)據(jù)轉(zhuǎn)化為行動(dòng)的建議。將其提升為具有足夠情境信息的情報(bào)有助于 SOC 團(tuán)隊(duì)采取下一步行動(dòng)。

聚集業(yè)務(wù)部門的關(guān)鍵利益相關(guān)者

與業(yè)務(wù)部門中合適的利益相關(guān)者合作，確定哪些數(shù)據(jù)必須處理也很重要。

關(guān)于日志源，IBM Security Services 的全球安全情報(bào)和運(yùn)營咨詢合作伙伴 Matt Shriner 如是說道：“您并不想抓住所有事情。您只想抓住正確的事情，然后與關(guān)鍵的利益相關(guān)者合作完成這些事情。”換言之，您希望引入日志源，這將有助于您實(shí)現(xiàn)符合業(yè)務(wù)優(yōu)先事項(xiàng)的正確用例。

SOC 經(jīng)理和首席信息安全官可以與首席風(fēng)險(xiǎn)官、首席信息官和首席財(cái)務(wù)官合作，以自上而下的方式審視對企業(yè)而言最重要的網(wǎng)絡(luò)風(fēng)險(xiǎn)。讓所有關(guān)鍵利益相關(guān)者參與進(jìn)來有助于明確用例列表，這些用例可用作所需安全架構(gòu)的輸入，并按重要性對其進(jìn)行排序。

Shriner 說道，“從一開始便精確地監(jiān)控對業(yè)務(wù)而言最重要的事情”，您便可大幅縮短投資回報(bào)周期。

了解合規(guī)標(biāo)準(zhǔn)和行業(yè)框架

了解數(shù)據(jù)所在的位置非常關(guān)鍵。結(jié)合政府法規(guī)來考慮，這一觀點(diǎn)比以往任何時(shí)候都更加合理，而它反過來又會影響事件響應(yīng)。向 SOC 提供有關(guān)數(shù)據(jù)泄露響應(yīng)需求及相關(guān)法律的實(shí)際情況，有助于確保在發(fā)生數(shù)據(jù)泄露時(shí)，他們可以遵循正確的流程。威脅實(shí)施者的行動(dòng)速度非?？?，因此負(fù)責(zé)關(guān)鍵事件的響應(yīng)人員需要更快地采取行動(dòng)。

明確自上而下案例使用方法的框架還能夠幫助 SOC 建立相關(guān)流程。在了解風(fēng)險(xiǎn)時(shí)，可以從創(chuàng)建 SOC 最佳實(shí)踐藍(lán)圖或目標(biāo)運(yùn)營模型著手。美國國家標(biāo)準(zhǔn)技術(shù)研究院 (NIST) 提供了最常用的行業(yè)框架之一。

利用合適的工具，而不是部署更多的數(shù)據(jù)安全工具

除了上述挑戰(zhàn)之外，明確要使用哪些工具也非常關(guān)鍵。隨著 IT 領(lǐng)域變得越來越分散、多樣化，SOC 會引入越來越多的系統(tǒng)。隨著工具的增多，就會出現(xiàn)更多采用單獨(dú)工作流程的數(shù)據(jù)筒倉。對于已經(jīng)因?yàn)橐獞?yīng)對來自各個(gè)端點(diǎn)的原始讀取內(nèi)容而不堪重負(fù)的團(tuán)隊(duì)而言，維護(hù)所有這些控制是一項(xiàng)重大且成本高昂的任務(wù)。

部署工具的目的在于連接系統(tǒng)、簡化數(shù)據(jù)，而不是讓 SOC 工作人員的生活變得更復(fù)雜。舉例來說，聯(lián)合數(shù)據(jù)安全架構(gòu)可以幫助 SOC 全面了解環(huán)境中發(fā)生的事件。如果 SOC 團(tuán)隊(duì)能夠訪問公共控制面板并進(jìn)行聯(lián)合搜索，他們便可查看數(shù)據(jù)，而不必花費(fèi)時(shí)間登錄多個(gè)工具。在聯(lián)合數(shù)據(jù)訪問的基礎(chǔ)上構(gòu)建業(yè)務(wù)流程和自動(dòng)化，意味著分析人員可以專注于經(jīng)簡化的工作流，獲得他們所需的實(shí)際洞察力并在多云架構(gòu)中快速執(zhí)行。

專注于人員

將數(shù)據(jù)防御擴(kuò)展到 SOC 的所有領(lǐng)域，這一點(diǎn)關(guān)系到企業(yè)的投資回報(bào)。但同時(shí)也與人員有關(guān)。打破團(tuán)隊(duì)之間的壁壘并在面對規(guī)則和過多工具的情況下提供 SOC 支持，有助于改變?nèi)藛T的工作方式和事件響應(yīng)方式。

回到人員、流程和技術(shù)循環(huán)的起點(diǎn)，我們可以看到工具必須要能為人員提供服務(wù)，而不是人員為工具服務(wù)。添加自動(dòng)化功能是實(shí)現(xiàn)這一目標(biāo)的方法之一。自動(dòng)化能夠提升工作效率、組織警報(bào)并提供用戶行為分析，進(jìn)而為 SOC 團(tuán)隊(duì)提供他們所需的數(shù)據(jù)洞察力，讓他們不會感到不堪重負(fù)。

不僅如此，它還會影響人員的生活。

對此，Shea 如是說道：“當(dāng)然，確保您的業(yè)務(wù)持續(xù)保持有效并高效地參與市場競爭非常重要。”不過，舉例來說：“適當(dāng)?shù)陌踩院蛿?shù)據(jù)安全會對患者健康等事務(wù)產(chǎn)生影響。”

跨團(tuán)隊(duì)、工具和工作流的數(shù)據(jù)安全

若要跟上威脅格局，SOC 需要專注于策略（包括數(shù)據(jù)防御方法）的持續(xù)改善和演變。吸納合適的人員、不斷完善策略并使用合適的工具，您才有可能不斷定義用例并監(jiān)控對業(yè)務(wù)而言至關(guān)重要的數(shù)據(jù)。

Shriner 給出的建議是，找到“適當(dāng)?shù)膬?nèi)容、適當(dāng)?shù)木瘓?bào)、規(guī)則和儀表板，這些從一開始就能為您帶來價(jià)值。”

對于現(xiàn)代 SOC 而言（無論是企業(yè)還是企業(yè)員工，又或者是對個(gè)人身份信息有疑問的客戶或患者），數(shù)據(jù)訪問和恢復(fù)速度都至關(guān)重要。

Carry Resor Hawes

IBM Security 產(chǎn)品營銷經(jīng)理

Carry 負(fù)責(zé) IBM Security 開放混合多云平臺 IBM Cloud Pak for Security 的產(chǎn)品營銷。她在營銷戰(zhàn)略、定位、進(jìn)入市場計(jì)劃和執(zhí)行方面具有豐富的專業(yè)知識。她在達(dá)特茅斯的塔克商學(xué)院獲得工商管理碩士學(xué)位后加入 IBM 工作。在進(jìn)入商學(xué)院學(xué)習(xí)之前，她主要從事廣告業(yè)，為許多客戶和行業(yè)制定了整合營銷戰(zhàn)略。她擁有耶魯大學(xué)的文學(xué)學(xué)士學(xué)位，大學(xué)四年一直是校冰球隊(duì)成員。

 *立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢 

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。