• 是时候实现 SOC 2.0 了


    本文讲的是是时候实现 SOC 2.0 了,SOC,安全运营中心,为取得其最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。
    image

    早在几年前,企业就开始创建SOC来集中化威胁与漏洞的监视和响应。第一代SOC的目标,是集中管理、分析和响应来自多个不同边界和终端工具的警报与事件。操作员通常坐在特定工具控制台前,比如DLP,或者将所有日志收集到一个地方的SIEM工具前。另外的可视化与地图类屏幕也醒目地展示出来,供来访的高管们巡视。

    SOC的诞生,是为了整合响应员工,强化各不同安全域之间的协作,更加容易地“抓住坏人”。然而,让员工手动分析成堆的数据,从孤立的事件和指标中寻找联系,被证明是低效、不可持续且令人难以承受的,尤其是在数据量持续暴增,而具备资格的分析师增长不足以弥补人才缺口的情况下。

    另外,攻击也越来越复杂和不可检测,特别是我们缺乏更高级的机制以连接上不同传感器和行为数据,那就更加不可能检测出愈趋复杂的威胁了。

    为跟上黑客的脚步,我们需要武装起操作员,让他们具备尽快决策并采取最有效行动的能力。

    整合或集成不仅仅意味着将数据放进一个集中的地方,甚至全都弄到一个工具里。想要从SOC流过的海量数据中抽取出真正有意义的情报,就得把它们都套进一个统一的模型,将SOC的观点从孤立事件转变为互动实体。将所有这些数据以有意义的方式集成的关键,在于上下文的添加。

    技术性事件数据缺乏业务和风险上下文,不能有效驱动优先化的响应。最终,我们的目标不是阻止每个攻击,或者响应来自每个传感器的每一个事件。正如业务连续性计划不追求(也无法)通过确保业务关键过程维持合适的可操作性,来防止所有可能的业务中断和进行风险管理;SOC的目标,就是缓解造成最大业务风险的那些风险因素。

    将公司和信息资产上下文嵌入整合的数据模型,可为分析工具和人类操作员提供必要的业务上下文,以基于运营及财务视角看来的重要程度,优先化他们的响应操作。

    人的因素是SOC运营最大的挑战。尽管我们都梦想通过完全自动化整个检测和响应过程,来解决技术人才短缺问题,在预见得到的未来,这事儿怕是不太可能梦想成真的。所以,当前的关注重点,应该放在使用机器学习、人工智能和自动化分析工具,来最小化SOC操作员工作所需的知识和手动操作上。这包括了使用行为和风险价值分析工具,来最小化误报,基于业务风险提供给操作员“下一步行动”指示,以及用最少的点击验证和弄懂已确认风险的一套机制。

    让SOC操作员更有效工作的逻辑延伸,是为已验证的风险添加自动化响应选项。一旦分析师已经审查并核实了所发现威胁或漏洞的本质,他们应该能够通过点击按钮来采取自动化的行动。

    无论公司拥有多少SOC操作员,他们不可能同时身处各方,也不可能完全掌握公司所有人员的具体情况。为取得SOC的最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。

    无论是每个邮箱用户标记潜在网络钓鱼邮件,还是应用拥有者确认自身应用中的不正常行为,公司每个人都应被看做是SOC的信息渠道。这不意味着每个人都是SOC的一部分,但每个人都应该意识到网络风险,有能力告知SOC。

    正如每个员工都能提供公司内可疑事件的情报,与其他公司以及政府合作,将提升自家公司预防攻击的可能性。来自供应商、第三方组织和政府信息中心的威胁情报,其共享与实施的增长,对正方的胜利愈加关键。

    早期SOC是驯服网络安全这头野兽的关键第一步。就像其它任一关键业务运营一样,最佳实践脱胎于经验教训,而技术创新将更高效地最小化网络安全风险对商业的影响。

    是时候实现 SOC 2.0 了!

    原文发布时间为:二月 14, 2017
    本文作者:nana
    本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
    原文链接:http://www.aqniu.com/learn/22872.html

  • 相关阅读:
    P168 实战练习(权限修饰符)
    Java—面向对象—权限修饰符及思维导图
    P168 实战练习(构造方法)
    Java—面向对象—构造方法及相关思维导图
    面向对象编程(OOP)
    随堂练习——猜生日
    正则表达式
    P141 实战练习——字符串(修改后)
    java经典问题
    java开发环境
  • 原文地址:https://www.cnblogs.com/twodog/p/12139466.html
Copyright © 2020-2023  润新知