信息來源：安全牛

成功的安全運(yùn)營(yíng)沒有捷徑，希望以下觀點(diǎn)能帶來幫助。

      現(xiàn)代安全運(yùn)營(yíng)中心 (SOC) 面臨各種各樣的困難和挑戰(zhàn)，問題范圍覆蓋組織架構(gòu)層面和技術(shù)與預(yù)算等。第三方 SOC 可以擔(dān)起檢測(cè)和響應(yīng)的工作，讓依靠他們的公司企業(yè)可以騰出手來專注提升內(nèi)部安全運(yùn)營(yíng)。在與客戶攜手的運(yùn)營(yíng)之路上，以下六個(gè) SOC 運(yùn)營(yíng)過程中的問題值得重視，如下：

1. SOC有了，沒有高端人才

形勢(shì)好的時(shí)候都難以招攬菁英 SOC 分析師，現(xiàn)在這種人才稀缺的成長(zhǎng)型經(jīng)濟(jì)條件下就更是難找了。公司企業(yè)需要聰明人看準(zhǔn)威脅界面，解釋安全遙測(cè)數(shù)據(jù)，找出并分析威脅。當(dāng)今最新的人工智能 (AI) 和機(jī)器學(xué)習(xí)創(chuàng)新可幫助這些專業(yè)人士更有效操作。然而，技術(shù)本身永遠(yuǎn)代替不了清楚公司特定環(huán)境和威脅的人才。公司企業(yè)需要部署恰當(dāng)?shù)捻?xiàng)目來發(fā)現(xiàn)、培訓(xùn)和留住菁英人才。

2. 不切實(shí)際的提升能力

急速提升 SOC 運(yùn)營(yíng)的想法滿是風(fēng)險(xiǎn)，很有可能會(huì)失敗。公司企業(yè)需花點(diǎn)時(shí)間分析自身優(yōu)勢(shì)，然后以此為基礎(chǔ)謀求發(fā)展。增量式改善總能勝過不切實(shí)際的 “宏偉” 計(jì)劃。

3. SOC與NOC缺乏協(xié)同

整合 SOC 與網(wǎng)絡(luò)運(yùn)營(yíng)中心 (NOC) 將極大提升整體運(yùn)營(yíng)狀況。NOC 管理、控制和監(jiān)視著網(wǎng)絡(luò)，負(fù)責(zé)可用性、備份、確保充足帶寬和處理網(wǎng)絡(luò)故障等事務(wù)。SOC 提供事件預(yù)防和安全威脅檢測(cè)與響應(yīng)。這兩個(gè)職能有時(shí)候會(huì)有重疊，比如拒絕服務(wù)攻擊就有可能表現(xiàn)為網(wǎng)絡(luò)中斷，但實(shí)際上是安全威脅。雖然這兩項(xiàng)職能在組織架構(gòu)上是獨(dú)立的，但他們需要協(xié)調(diào)運(yùn)作才可以達(dá)成最佳效果。

4. 不清晰的目標(biāo)

公司企業(yè)需對(duì)自己追求的目標(biāo)和達(dá)成目標(biāo)的途徑有著切合實(shí)際的清醒認(rèn)知。第一步：獲得高層支持，然后確定開展工作所需的預(yù)算。這項(xiàng)工作涉及全面思考建立有效 SOC 所需部署的東西，包括人員、過程和技術(shù)。你可能還會(huì)面臨 “自己做還是直接買” 的決策——需要一個(gè)評(píng)估過程來確定達(dá)成公司特定目標(biāo)的最佳方式。

5. 二三個(gè)人的錯(cuò)覺

考慮公司面臨的安全困難，然后招募適當(dāng)水平的員工來解決這些困難。將兩三名安全人員認(rèn)為是 “我的 SOC” 并不是最佳解決方案。單憑幾個(gè)人無法提供有效安全運(yùn)營(yíng)所需的全天候覆蓋。而且，休息時(shí)段依賴電話告警存在風(fēng)險(xiǎn)，午夜警報(bào)傳呼可能叫不醒睡著的人。Gartner《2018 托管檢測(cè)與響應(yīng)服務(wù)市場(chǎng)指南》建議，提供全天候覆蓋至少需要 8 到 12 名分析師。試想一下，如果員工都在家慶祝新年夜而無人盯著監(jiān)視器的時(shí)候有事件發(fā)生，會(huì)是個(gè)什么情況？

6. AI搞定一切

AI 解決不了公司所有安全問題，公司也無法自動(dòng)化整個(gè)安全監(jiān)視過程。維持運(yùn)作良好的 SOC 需要找出、培訓(xùn)和留住有經(jīng)驗(yàn)的員工，這些員工能夠利用基于 AI 的高級(jí)工具，通過提供自動(dòng)化過程能學(xué)習(xí)的反饋，來發(fā)現(xiàn)真正重要的威脅。找尋和留住這些人才的關(guān)鍵在于為他們提供各種各樣有意思、有難度的工作。