对于网络罪犯来说,人人都是目标,没有完美的防御。我们必须假设每家公司的IT基础设施都会在某个时候受到损害。这就是为什么我们全天候全天候监控、调查和响应网络威胁,这样我们就可以避免重大数据泄露和对我们的声誉、底线和客户信任的潜在损害。还有什么比建立安全运营中心(SOC)更能提供持续监控和分析的方法呢?SOC人员、流程和平台可以实现对整个企业所有网络、服务器、终端、应用程序和数据库的持续监控,为检测和挖掘潜在威胁提供专业知识。SOC的一个主要优势是能够通过减少攻击者停留时间来防止灾难性数据泄露影响。(停留时间是指从攻击者入侵网络到公司发现入侵的时间。攻击者入侵网络通常只需要几分钟,但公司可能不会发现已经被入侵直到几个月后才妥协。)A,成本和复杂性是主要障碍从任何角度来看,SOC都是复杂且昂贵的设置。设置和维护SOC需要大量专门的硬件和软件来生成事件和警报,而这些事件和警报需要由高级安全分析师审查以确定哪些代表真正的威胁。1.平台很贵。为了获得可见性的基础,适应企业环境的安全信息和事件管理(SIEM)系统是必须的,此外还有防火墙、IPS/IDS、漏洞评估工具、端点监控解决方案等。所有这一切还需要持续提供特定于公司目标和风险承受能力的威胁情报,并通过机器学习增强结果并由人类专家进行微调。2.工艺也不便宜。编写详细的、特定于公司的剧本,说明在发生勒索软件攻击、恶意软件感染、分布式拒绝服务(DDoS)攻击或其他威胁时应采取的措施。这些手册详细说明了如何调查、收集哪些证据、何时以及如何升级。3、最贵的是人。安全人才短缺是全球性的,具有持续监控所需知识的广度和深度的高级安全分析师已经很难招聘,甚至更难召集。随着人才竞争的加剧,留住这些人才更加困难。2、完整的SOC:平台、人员、流程3、寻找最佳路径实现持续覆盖的目标,不是简单的直接建或买的决定,更类似于决定买还是租,或者共同管理:自己构建SOC,外包SIEM(或SOC)平台,或使用共同管理的SOC解决方案。1.构建自己的SOC就像买一辆汽车从A点开到B点。您承担所有平台、流程和人员开销,但您可以完全控制去向和方式(例如,您的公司认为的风险、威胁和响应)。当然,成本和复杂性可能令人望而却步。2.外包一个SIEM或SOC平台就像租车。您必须聘请、培训和保留自己的SOC团队,而不是购买硬件,但仍然自己执行所有流程。这比构建自己的SOC成本更低,但开销仍然很大。3.使用公寓SOC解决方案就像拼车一样到达目的地。借助经验丰富的安全专家来增强您的内部团队,通过经过验证的流程推动强大的SIEM平台,并享受对最终目的地的控制。共同管理的SOC可确保联合团队协同工作以实现客户公司的安全目标。第四,阐明SOC我们的目标是从当前的安全和合规状态转变为更强大的安全态势、合规信心和事件准备。显然,实现这一目标成本效益最高的方式是通过SOC的共管,也就是“拼”的方式。这样做会以最低的成本获得最好的人员、流程和平台。既避免了人员和流程开销,又保留了自己公司的特定需求:公司的风险承受能力、市场现实和定义公司重要事项的权利。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
