多年來，安全運(yùn)營中心 (SOC) 隨著威脅形勢的變化而不斷發(fā)展。它曾經(jīng)是政府和軍隊組織的專利，如今越來越多地被推薦給各種規(guī)模的企業(yè)，甚至包含中小企業(yè)。然而，建立一個專門的團(tuán)隊和設(shè)施來全天候監(jiān)控威脅并不容易。可能會面臨技能和資金的短缺。這就是為何許多公司將這些責(zé)任交給受信任的第三方的原因。然而，決定外包只是第一步，接下來才是困難的部分——選擇合適的供應(yīng)商。

事實上，并非所有托管 SOC 產(chǎn)品都一樣。尋找合適的合作伙伴是一場比許多人意識到的風(fēng)險更高的游戲。一旦弄錯了，網(wǎng)絡(luò)風(fēng)險和成本可能會迅速失控。

網(wǎng)絡(luò)攻擊不斷

投資 SOC 的主要驅(qū)動力是可預(yù)測的。近年來，網(wǎng)絡(luò)威脅的數(shù)量和復(fù)雜程度都在飆升。這在勒索軟件領(lǐng)域最為明顯，網(wǎng)絡(luò)犯罪的創(chuàng)新導(dǎo)致了“即服務(wù)”產(chǎn)品的使用，使廣泛的附屬組織擁有了攻擊能力。去年，勒索軟件被視為英國人民的最大在線威脅。

盡管在安全方面投入了大量資金(據(jù)估計，去年安全方面的投資激增了60%)，但黑客入侵仍在繼續(xù)造成重大的財務(wù)和聲譽(yù)損失。根據(jù)政府?dāng)?shù)據(jù)顯示，去年有五分之二(39%)的英國機(jī)構(gòu)遭受過數(shù)據(jù)泄漏或網(wǎng)絡(luò)攻擊，其中中型企業(yè)和大型企業(yè)分別達(dá)到59%和72%。

由于暗網(wǎng)上流傳著大量被破壞的憑證（估計有 270 億個），威脅參與者可以直接訪問目標(biāo)網(wǎng)絡(luò)而不會引發(fā)任何警報。如果不能直接訪問，他們可以利用去年發(fā)布的 2萬多個漏洞，或者許多前幾年仍未修補(bǔ)的漏洞。更有甚者，他們可以支付初始訪問代理費(fèi)用來為他們出力。

并非一帆風(fēng)順

這種復(fù)雜的威脅形勢意味著基于預(yù)防的安全性有其局限性。面對堅定的對手并肩負(fù)著要防御大型企業(yè)攻擊面的任務(wù)，沒有任何組織可以 100% 抵御攻擊。這將使更多的注意力放在檢測和響應(yīng)上：在漏洞成為嚴(yán)重事件之前發(fā)現(xiàn)和解決漏洞。這就是安全運(yùn)營 (SecOps) 和 SOC 的工作。

然而，也存在持續(xù)的挑戰(zhàn)。首先要找到足夠的人才來運(yùn)營 SOC。整個行業(yè)的人才缺口達(dá) 270 萬?，而 SOC 分析師可以說是最難找的。由于警報過載帶來的壓力和倦怠，許多人計劃退出，但這對他們并沒有什么幫助。這通常歸結(jié)為糟糕的工具輸出數(shù)據(jù)和誤報，無法對信號進(jìn)行優(yōu)先級排序。

這導(dǎo)致了另一個挑戰(zhàn)：技術(shù)投資的成本。組織必須找到合適的工具組合，以提供分析師所需的洞察力，但是在競爭激烈的市場中這并不容易做到。SIEM 可能很有用，但通常需要不斷調(diào)整才能有效，而許多 SOC 團(tuán)隊沒有時間或資源來做到這一點(diǎn)。選擇在內(nèi)部執(zhí)行 SecOps 的組織的財務(wù)負(fù)擔(dān)正在增加。根據(jù)一項研究顯示，由于管理的復(fù)雜性，超過一半的組織的感知投資回報率正在下降。同一份報告稱，安全工程成本每年攀升至 300 萬美元，但只有 51% 的人認(rèn)為這些努力是有效的。

外包 SOC 有何意義

因此，越來越多的公司決定將其 SOC 功能完全外包。這使他們能夠?qū)⒓寄軉栴}轉(zhuǎn)移給專門的組織，該組織擁有更多資源來尋找最聰明和最優(yōu)秀的人才。它還消除了對設(shè)備和持續(xù)維護(hù)的昂貴前期投資的需要，并支持更高的運(yùn)營敏捷性，比如如果組織決定需要新的檢測和響應(yīng)能力。

據(jù)估計，托管 SOC 市場在未來五年內(nèi)將以近 11% 的速度增長，到 2027 年將達(dá)到 100 億美元。但在一個快速增長的市場中，雖然有越來越多的選擇，并非所有的都適合。重要的是要找到一個供應(yīng)商，它不僅擁有支持客戶擴(kuò)展的資源，而且擁有一套正確的多層工具來正確完成這項工作。

這些工具應(yīng)包括檢測和響應(yīng)工具，如 SIEM、EDR、日志管理、文件完整性監(jiān)控和威脅查找。這些工具的綜合力量甚至可以清除隱蔽的威脅。惡意行為者通常使用合法工具來隱藏在網(wǎng)絡(luò)中。通過了解這些行為，SecOps 團(tuán)隊可以更清楚地確定何時發(fā)生網(wǎng)絡(luò)入侵。此外，如果數(shù)據(jù)被竊取并發(fā)布在暗網(wǎng)上，暗網(wǎng)監(jiān)測可以提供有用的入侵預(yù)警系統(tǒng)，而漏洞監(jiān)測可以幫助阻止強(qiáng)大的攻擊媒介。

最重要的是，組織需要找到一個超越典型的托管 SOC 商業(yè)關(guān)系的合作伙伴，更像是內(nèi)部安全團(tuán)隊的延伸。他們應(yīng)該提供全天候的保護(hù)、專門的客戶服務(wù)以及持續(xù)的反饋和報告。這不僅能讓客戶放心，他們的運(yùn)營是安全的，而且還能提供關(guān)鍵情報，可用于增強(qiáng)未來的網(wǎng)絡(luò)彈性。

原標(biāo)題：HowTo: Find the Right SOC Provider

作者：Rick Jones

鏈接：https://www.infosecurity-magazine.com/opinions/find-right-soc-provider/

 ?