多年来,随着威胁形势的变化,安全运营中心(SOC)也在不断发展。它曾经是政府和军事组织的专利,现在越来越多地被推荐给各种规模的企业,甚至是中小企业。然而,建立一个专门的团队和设施来全天候24小时监控威胁并不容易。可能缺乏技能和资金。这就是为什么许多公司将这些责任移交给可信赖的第三方的原因。然而,决定外包只是第一步,接下来才是困难的部分——选择合适的供应商。事实上,并非所有托管SOC产品都是一样的。寻找合适的合作伙伴比许多人意识到的风险更大。一旦失误,网络风险和成本就会迅速失控。网络攻击持续投资SOC的主要驱动力是可预测性。近年来,网络威胁的数量和复杂程度猛增。这在勒索软件领域表现得最为明显,网络犯罪领域的创新催生了“即服务”产品的使用,为范围广泛的附属组织提供了攻击能力。去年,勒索软件被视为对英国人最大的在线威胁。尽管对安全性进行了大量投资(去年对安全性的投资估计激增了60%),但黑客攻击仍在继续造成重大的财务和声誉损失。根据政府数据,五分之二(39%)的英国组织在去年经历了数据泄露或网络攻击,其中59%的中型企业和72%的大型企业。由于大量受损凭据(估计有270亿)在暗网上流传,威胁行为者可以直接访问目标网络而不会发出任何警报。无需直接访问,他们就可以利用去年发布的20,000多个漏洞,或者许多前几年未修复的漏洞。更重要的是,他们可以支付初始访问代理费来为他们完成工作。并非一帆风顺这种复杂的威胁形势意味着基于预防的安全性有其局限性。面对顽固的对手并肩负着保护大型企业攻击面的任务,没有哪个组织可以100%免疫攻击。这将更加关注检测和响应:在漏洞成为严重事件之前发现并解决漏洞。这就是安全运营(SecOps)和SOC所做的。然而,也存在持续存在的挑战。首先要找到足够的人才来运行SOC。由于整个行业存在270万人才缺口,SOC分析师可以说是最难找到的。由于警报过载的压力和倦怠,许多人计划退出,这无济于事。这通常归结为不良的工具输出数据和误报,未能确定信号的优先级。这导致了另一个挑战:技术投资成本。组织必须找到正确的工具组合来提供分析师所需的洞察力,但这在竞争激烈的市场中并不容易。SIEM可能很有用,但通常需要不断调整才能有效,而许多SOC团队没有时间或资源这样做。对于选择在内部执行SecOps的组织来说,财务负担正在增加。一项研究表明,由于管理复杂性,超过一半的组织的感知投资回报率有所下降。根据同一份报告,安全工程成本攀升至每年300万美元,但只有51%的人认为这些努力是有效的。外包SOC的意义因此,越来越多的公司决定将其SOC功能完全外包。这使他们能够将技能问题交给一个专门的组织,该组织拥有更多资源来寻找最聪明和最优秀的人才。它还消除了对设备和持续维护进行昂贵的前期投资的需要,并支持更高的操作灵活性,例如,如果组织决定需要??新的检测和响应功能。托管SOC市场预计在未来五年内将增长近11%,到2027年将达到100亿美元。但在快速增长的市场中,虽然有越来越多的选择,但并不是所有的都适合。重要的是要找到一家不仅拥有支持客户扩展的资源,而且拥有正确的多层工具集来正确完成工作的供应商。这些工具应包括检测和响应工具,例如SIEM、EDR、日志管理、文件完整性监控和威胁搜寻。这些工具的综合力量甚至可以消除隐蔽的威胁。恶意行为者经常使用合法工具隐藏在网络中。通过了解这些行为,SecOps团队可以更清楚地确定何时发生了网络入侵。此外,如果数据被盗并发布在暗网上,暗网监控可以为入侵提供有用的预警系统,而漏洞监控可以帮助阻止强大的攻击媒介。最重要的是,组织需要找到一个超越典型托管SOC业务关系并且更像是内部安全团队延伸的合作伙伴。他们应该提供24/7全天候保护、专门的客户服务以及持续的反馈和报告。这不仅让客户确信他们的操作是安全的,而且还提供了可用于增强未来网络弹性的关键情报。原标题:HowTo:FindtheRightSOCProvider作者:RickJones链接:https://www.infosecurity-magazine.com/opinions/find-right-soc-provider/
