是時候實作 SOC 2.0 了

soc，安全營運中心，為取得其最佳效果，以及真正最小化網絡風險，需要全員就位，讓安全成為每個人的責任。

早在幾年前，企業就開始建立soc來集中化威脅與漏洞的監視和響應。第一代soc的目标，是集中管理、分析和響應來自多個不同邊界和終端工具的警報與事件。操作員通常坐在特定工具控制台前，比如dlp，或者将所有日志收集到一個地方的siem工具前。另外的可視化與地圖類螢幕也醒目地展示出來，供來訪的高管們巡視。

soc的誕生，是為了整合響應員工，強化各不同安全域之間的協作，更加容易地“抓住壞人”。然而，讓員工手動分析成堆的資料，從孤立的事件和名額中尋找聯系，被證明是低效、不可持續且令人難以承受的，尤其是在資料量持續暴增，而具備資格的分析師增長不足以彌補人才缺口的情況下。

另外，攻擊也越來越複雜和不可檢測，特别是我們缺乏更進階的機制以連接配接上不同傳感器和行為資料，那就更加不可能檢測出愈趨複雜的威脅了。

為跟上黑客的腳步，我們需要武裝起操作員，讓他們具備盡快決策并采取最有效行動的能力。

整合或內建不僅僅意味着将資料放進一個集中的地方，甚至全都弄到一個工具裡。想要從soc流過的海量資料中抽取出真正有意義的情報，就得把它們都套進一個統一的模型，将soc的觀點從孤立事件轉變為互動實體。将所有這些資料以有意義的方式內建的關鍵，在于上下文的添加。

技術性事件資料缺乏業務和風險上下文，不能有效驅動優先化的響應。最終，我們的目标不是阻止每個攻擊，或者響應來自每個傳感器的每一個事件。正如業務連續性計劃不追求（也無法）通過確定業務關鍵過程維持合适的可操作性，來防止所有可能的業務中斷和進行風險管理；soc的目标，就是緩解造成最大業務風險的那些風險因素。

将公司和資訊資産上下文嵌入整合的資料模型，可為分析工具和人類操作員提供必要的業務上下文，以基于營運及财務視角看來的重要程度，優先化他們的響應操作。

人的因素是soc營運最大的挑戰。盡管我們都夢想通過完全自動化整個檢測和響應過程，來解決技術人才短缺問題，在預見得到的未來，這事兒怕是不太可能夢想成真的。是以，目前的關注重點，應該放在使用機器學習、人工智能和自動化分析工具，來最小化soc操作員工作所需的知識和手動操作上。這包括了使用行為和風險價值分析工具，來最小化誤報，基于業務風險提供給操作員“下一步行動”訓示，以及用最少的點選驗證和弄懂已确認風險的一套機制。

讓soc操作員更有效工作的邏輯延伸，是為已驗證的風險添加自動化響應選項。一旦分析師已經審查并核實了所發現威脅或漏洞的本質，他們應該能夠通過點選按鈕來采取自動化的行動。

無論公司擁有多少soc操作員，他們不可能同時身處各方，也不可能完全掌握公司所有人員的具體情況。為取得soc的最佳效果，以及真正最小化網絡風險，需要全員就位，讓安全成為每個人的責任。

無論是每個郵箱使用者标記潛在網絡釣魚郵件，還是應用擁有者确認自身應用中的不正常行為，公司每個人都應被看做是soc的資訊管道。這不意味着每個人都是soc的一部分，但每個人都應該意識到網絡風險，有能力告知soc。

正如每個員工都能提供公司内可疑事件的情報，與其他公司以及政府合作，将提升自家公司預防攻擊的可能性。來自供應商、第三方組織和政府資訊中心的威脅情報，其共享與實施的增長，對正方的勝利愈加關鍵。

早期soc是馴服網絡安全這頭野獸的關鍵第一步。就像其它任一關鍵業務營運一樣，最佳實踐脫胎于經驗教訓，而技術創新将更高效地最小化網絡安全風險對商業的影響。

是時候實作 soc 2.0 了！

本文轉自d1net（轉載）