对网络罪犯来说,每个人都是攻击目标,而完美防御是不存在的。我们必须假定每家公司的IT基础设施在某个时候都会被渗漏。所以我们得持续监视、调查和响应网络威胁,全年无休,这样才可以避免重大数据泄露事件和对公司声誉、盈利及客户信任的潜在伤害。
而有什么方法是比设立安全运营中心(SOC)更能提供持续监视与分析的吗?SOC的人员、过程和平台可以针对整个企业的所有网络、服务器、终端、应用及数据库实现持续不断的监视,为检测和挖掘潜在威胁提供专家知识。SOC的一个主要好处就是可以通过减少攻击者的驻留时间来防止灾难性数据泄露影响。(驻留时间指的是从攻击者入侵网络到公司发现该入侵状况之间的时间,攻击者入侵网络往往只需要几分钟,而公司企业却可能几个月后才发现被入侵了。)
一、成本和复杂性是主要障碍
无论从哪个角度看,SOC都是复杂而昂贵的设置。设立并维护SOC需要很多专业硬件及软件来产生事件及警报,而这些事件和警报又需要聘用高级安全分析师进行审查,才确定哪些代表着真正的威胁。
1. 平台很贵。
想要获得可见性基础,适应公司环境的安全信息与事件管理(SIEM)系统是必备,其他还有防火墙、IPS/IDS、漏洞评估工具、终端监视解决方案等等。所有这些还都需要不断馈送特定于公司目标和风险承受力的威胁情报,其产生的结果还得经机器学习增强和由人类专家微调。
2. 过程同样不便宜。
需编写详细的特定于公司具体情况的操作手册,阐明发生勒索软件攻击、恶意软件感染、分布式拒绝服务(DDoS)攻击或其他威胁时应该做些什么。这些手册具体规定了应该怎么调查、收集哪些证据、何时需要升级以及如何升级。
3. 最贵的是人。
安全人才紧缺的情况是全球性的,具备持续监测所需知识广度和深度的高级安全分析师已经很难雇到了,想组队就更难了。而在人才争夺战愈演愈烈的情况下,想留住这些人才更是难上加难。
二、完整SOC:平台、人员、过程
三、找出最佳路线
实现持续覆盖的目标不是简单的自己建还是直接买的决策,而更类似于决定是买还是租,或者是共同管理:自行打造SOC,外包SIEM(或SOC)平台,或者使用共管SOC解决方案。
1. 构建自己的SOC就好像买辆车从A地开到B地。
你得承受所有平台、过程和人员开支,但你可以拥有对行进方向和方式的完全控制权(比如自家公司认为什么才是风险、威胁和响应)。当然,成本和复杂性可能让人望而却步。
2. 外包SIEM或SOC平台就好像租车。
不用购买硬件,但仍需自己执行所有过程,必须雇佣、培训和留住你自己的SOC团队。这比自行打造SOC要便宜些,但开销依然可观。
3. 利用共管SOC解决方案就好像拼车到达目的地。
以经验丰富的安全专家增强内部团队,用成熟的过程驱动强力SIEM平台,而且还享有对最终目的地的控制权。共管SOC确保联合团队协同运作以实现客户公司的安全目标。
四、拼出个SOC
我们的目标是从当前的安全与合规状态迈向更健壮的安全态势、合规自信与事件准备度。显然,达成该目标最具成本效益的方式就是通过共管SOC,也就是“拼”的方式。这么做可以最低的成本获得最佳的人员、过程和平台。不仅避免了人员和过程开销,还保住了自家公司的特定需求:公司风险承受力、市场现实和公司重要事项的定义权。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】