研究数据表明,安全运营中心(SOC)可以显着推动组织的网络安全计划,使SOC成为有效的企业网络安全计划的基石。从控制的平均总时间来看,非常成功的网络安全组织部署SOC的可能性比不太成功的网络安全组织高52%。事实上,仅部署SOC就可以将组织控制数据泄露事件的平均时间缩短近一半。但是,在评估安全运营中心最佳实践时,细节决定了一切:网络安全专业人员应该外包SOC功能还是内部开发?而且,如果他们选择外包,选择标准应该是什么?外包的答案在很大程度上取决于企业的规模及其管理SOC的方法。NemertesResearch发现,对于拥有内部管理的SOC的大型组织(拥有超过2,500名员工),平均总控制时间提高了50%,而那些将SOC外包的公司的平均总控制时间减少了58%。对于较小的组织(少于2,500名员工),情况恰恰相反:使用外部管理的SOC平均时间提高50%,使用他们自己的内部SOC平均时间减少50%。小公司可以从外包中受益是合乎逻辑的。为确保24/7SOC至少需要四到八名全职员工-每个八小时轮班一名,外加一名经理和一名后备人员。对于很多中小企业来说,这是一个沉重的负担。SOC分析师必须经过培训,他们需要一条职业道路。此外,SOC分析师倦怠是一个真正的问题——较小的公司可能缺乏处理它的资源。不过,决定外包只是第一步。NemertesResearch定义了企业在评估SOC提供商和确保安全运营中心最佳实践时应使用的五个关键选择标准。1.运营模式SOC提供商是主要关注事件通知,还是以团队扩展模式工作并主动采取措施响应事件?这里没有正确答案,但这种反应会影响企业网络安全团队的结构。如果SOC团队仅将事件通知企业,则其内部网络安全团队需要培训、工具和流程来评估事件并采取适当的行动,这通常在SOC运行手册中描述——由IT部门为用于日常维护。2.SOCrunbook本身,无论由谁执行(内部团队或SOC提供商),runbook是如何开发的?SOC提供商是否有可以为每个客户量身定制的标准化运行手册,或者客户是否应该计划开发它?3。SOC供应商提供的服务组合供应商在一级、二级和三级支持方面提供什么?SOC提供商是否提供主动或被动服务,例如威胁搜寻、渗透测试或红色或紫色团队练习?响应式服务是SOC提供商的重点。主动服务可以减少客户对其他供应商的依赖,或者有助于显着加强他们的安全态势。4.SOC提供商所依赖的工具和技术集工具通常会破坏交易,尤其是当企业的需求与SOC提供商所提供的不匹配时。一定要问以下问题:提供商会使用客户的工具还是自己的工具?谁拥有工具和软件的许可证?所有权和许可问题会增加SOC的成本和复杂性。SOC提供商如何处理与客户工具环境的集成?5.关系如何终止?通常,由于终止关系的复杂性和成本,客户被供应商锁定。避免这种情况的最好方法是预先了解流程。总之,较小的公司几乎肯定会利用SOC服务。他们应对供应商进行全面评估,重点了解其运营模式,包括运行手册的开发;服务组合;工具和技术;和终止程序。通过适当关注这些安全运营中心最佳实践标准,小型公司可以显着改善其网络安全运营指标。
