就安全运营中心 (SOC) 而言,我们的网络安全工具仅可企及工具使用者和 SOC 同行的水平。SOC 的关键作用是什么?我们雇用这些人员时应考察哪些资质?此外,您对网络安全职业有哪些期望?
根据个人在 IBM Security 的 Managed Security Services SOC 的一些经验,我提供了以下一些有关全球 SOC 如何按需进行人员配备和组织的见解。
我在 IBM 工作时,所合作的客户都有一两位安全人员且这些人员在组织内都有多个“头衔”。我还和 SOC 老手一起工作,这些人都有自己的 24/7 全天候运营任务及固定的职责角色。
但是,我的大部分客户都介于这二者之间。他们聘用全职员工担任某些角色,并补充服务提供商以承担其他角色,比如负责提供全天候“实时检测”或作为“随时待命”的事件响应人员。
通常,角色以 SOC 的关键功能为中心:调查与分析、运营与维护、工程与架构、保护与防御、威胁情报,以及监督与治理。
调查与分析
这些角色响应触发器,比如警报或可疑事件。这些角色可以基于技术(比如主机),也可以基于网络或分层的技能/范围(比如“分层 1”、“分层 2”)。这些角色包括:
· 安全分析师
· 事件响应人员
· 事件管理人员
这些角色是工具日常管理的关键。典型的职责包括管理设备运行状况、故障排除、版本管理和策略管理。这些角色包括:
· 设备管理员(防火墙、入侵防范系统、终端代理等)
· 安全工程师
· 开发人员
· 安全架构师
· 安全工程师
· 威胁捕获人员
· 漏洞管理人员
· 渗透测试人员
· 威胁情报分析师
· 威胁研究分析师
· 合规官
· 安全意识和培训专业人员
· SOC 经理
· 首席信息安全官
警报疲劳也是 SOC 员工中真正的驱动力。它加剧了长期人员配备和人员保留的挑战,也使人员短缺变得更严重。周而复始,SOC 在“雇用-培训-替换”的周期中不可自拔。随着职业选择的向上优质发展,SOC 要不断地通过分析师来完成培训。这是一个不可持续的周期。
因此,越来越多的公司想要识别日常任务并实现自动化。SOAR(安全编排、自动化和响应)平台的热度持续攀升,很多公司开始引入机器学习元素来进行初始警报分类。
尽管大部分先前 L1 分析师的工作已实现自动化,但其余警报仍旧需要深入的分析技能。这也会导致 SOC 内部角色的专业化得到提升,继而推动对更高价值技能的需求,为员工职业发展带来新机遇,同时也促进 SOC 整体向更成熟的方向发展。
对于高层职位,我会挑选经验丰富且了解最佳实践方法的人。举例来说,要成为 Intel 分析师,就要先懂智能生命周期。通过研究行业框架(例如,MITRE ATT&CK),更好地了解对手的战术、技巧和程序。要争取获得高技术认证,比如进攻性安全认证专家或 GIAC 认证的事件处理人员。
就更高层次而言,专业化是关键。我们还要能够与其他利益相关者进行互动并有效地进行交流。一般来说,角色越高级,与客户的互动就越频繁。技术技能是必备的,但团队成员还必须能够以合理方式向客户传达复杂的安全信息,并使客户能够就如何使用有限的资源来最大程度确保安全来制定最佳决策。
对此,大家会在查看我们 SOC 处理的近期威胁时有深切体会。Maze 勒索软件就是一例。在数次交锋之后,我们的 X-Force 事件响应团队才逐渐了解 Maze 实施者是如何以泄露数据、删除备份、加密文件并挟持泄露数据来进行勒索的流程。他们的团队会在“耻辱之墙”上发布一些被盗的数据,来恐吓受害者付款。
当我们的事件响应团队发现更多此类活动时,我们的情报团队会对威胁实施者有更深入的了解。在此基础上,情报团队会将发现的信息告知威胁捕获人员,由其开始主动进行搜寻,继而传递给关联工程师,由其推出新检测工具,继而交予“实时检测”监视团队处理。这是现实的网络威胁循环。
作者简介
Miranda Ritchie
IBM Security 全球服务交付执行官
Miranda Ritchie 是 IBM Security 的全球服务交付执行官,负责管理全球分析团队,通过集中优质人才来解决问题,为 IBM MSS 客户提供高品质的威胁防范和检测服务。
*
历史精彩文章推荐 >>>
关于 IBM Security >>>
IBM Security 是 IBM 的信息安全解决方案及服务部门,具有多年深耕全球和本地各行各业客户的经验。IBM Security 在全球守护95%的全球五百强企业和组织的信息安全,客户覆盖金融、医疗、汽车、科技、电信、航空等行业公司及集团,包括50家全球最大的金融和银行机构中的49家、15家最大的医疗机构中的14家,15家全球最大科技企业中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他机构发布的12份不同的分析报告中,有12项技术解决方案被列为领导者,在产业中跻身首列。
