中国的安全和风险管理(SRM)领导者常常觉得他们的安全运营方法不再有效。这是因为大多数安全运营中心(SOC)都是根据过去的IT和威胁环境设计的,因此无法有效检测和响应当前和未来的攻击。中国独特的监管要求和安全市场对安全运营有特定的限制。要取得成功,中国的安全风险管理领导人不能简单地照搬国外的安全做法,而必须综合考虑当地情况。在中国,业务部门和云服务提供商也在安全运营中发挥着关键作用。因此,安全运营需要转向更加连接和灵活的运营模式,而不是无休止地扩大SOC的规模和范围。构建和平衡企业SOC模型中国政府出台了一系列安全运营的法律、指南和标准。SOC可以帮助企业检测和防御内部和外部威胁。在计划构建SOC或优化现有SOC时,中国的SRM领导者应考虑需求和业务价值、技术采用范围和SOC模型来确定SOC的目标。一个24/7的内部SOC团队通常需要至少12人负责监控和检测、事件响应和跟踪、威胁情报和检测以及自动化工程(SOC职责示例参见图1)。一些组织非常需要安全运营,但由于缺乏安全专业人员、预算紧张以及24/7安全运营的高成本,无法负担完整的内部SOC团队。其他组织虽然意识到自己的安全操作不成熟,但由于数据敏感性或监管限制而无法完全外包该功能。图1:安全运营中心职责示例混合SOC很好地解决了上述问题,通过结合内部和外部资源提供完整的SOC功能。与业务和CPO合作,确保安全运营适应互联互通的新IT环境数字化时代的集中安全管理和分散决策数字化和云化扩展了内外网络资产的边界和攻击面,范围和复杂性安全操作性也相应扩大和提高。传统的SOC,无论是内部、外包还是混合,不应仅限于纯粹与IT相关的职责,而应涵盖用于支持数字化和云部署的所有网络资产。一个高效的SOC应该整合安全资源和能力,同时分工推进业务部门决策。这需要发展复杂的团队合作,对角色和职责有详细的理解和定义(见图2)。图2:数字时代安全运营的互连方法云安全运营模型迁移到云时,SRM领导者应充分了解安全运营责任,并与云提供商明确责任界限。关于内部职责,SRM领导者应根据其组织在云计算中面临的独特挑战来选择安全运营方法来应对这些挑战。SRM领导者需要确定云安全操作是嵌入到常规云操作中,嵌入到常规安全团队中,还是成为一个独立的职能团队。利用云原生工具和攻击面管理发展SOC能力云原生安全工具的集成安全运营必须跟上变化的步伐,利用软件即服务(SaaS)和云基础设施和平台服务,适应云转型带来的扩张和扩张增加。大多数云安全问题是由分散在云中的各种服务和技术的错误配置引起的。由于云资源是弹性的、短暂的和可编程的,云安全操作在很大程度上依赖于脚本和自动化。SRM领导者的首要任务之一是选择云安全功能,以解决云部署中的可见性、错误配置和特权活动。成熟的SOC需要使用攻击面管理来发现问题并确定问题的优先级。对于大多数企业组织而言,中国的数字化转型导致网络资产的数量和复杂性急剧增加。在中国一年一度的国家级攻防演练中,我们注意到,对资产进行识别和分类,去除不必要的资产,减少攻击面是重中之重。安全团队可以利用新兴的攻击面管理技术,从内部管理角度和外部攻击者角度克服资产可用性和漏洞管理等长期问题。在真实场景中测试和强化SOC有效性表1显示了三种典型的测试SOC有效性的方法,以确定差距并为扩展提供基础。这三种测试方法各有长处。SRM领导者应选择适合其情况和需要的测试方法。2016年以来,中国企业和组织越来越重视攻防演练,希望将其纳入日常安全运营。
