就安全运营中心(SOC)而言,我们的网络安全工具仅与我们的工具消费者和SOC同行一样好。SOC的关键作用是什么?雇用这些人时我们应该看重什么资格?另外,您对网络安全职业有何期望?根据IBMSecurity的托管安全服务SOC的一些个人经验,我对全球SOC如何根据需要配备和组织人员提供以下见解。SOC中的关键角色确保雇用合适的人员对于现代SOC的成功至关重要。公司SOC中的主要角色取决于公司计划的成熟度以及公司的规模和预算。当我在IBM时,我与客户合作,这些客户在组织内拥有一两个拥有多个“头衔”的安全人员。我还与经验丰富的SOC合作,他们都有自己的24/7运营任务和固定职责角色。然而,我的大多数客户介于两者之间。他们雇用全职员工担任某些角色,并补充服务提供商以填补其他角色,例如负责提供24/7全天候“实时检测”或充当“随叫随到”的事件响应者。通常,角色以SOC的关键功能为中心:调查和分析、操作和维护、工程和架构、保护和防御、威胁情报以及监督和治理。调查和分析这些角色响应触发器,例如警报或可疑事件。这些角色可以基于技术(如大型机)、网络或分层技能/范围(如“第1层”、“第2层”)。这些角色包括:·安全分析师·事件响应者·事件管理员操作和维护这些角色是该工具日常管理的关键。典型职责包括管理设备运行状况、故障排除、版本管理和策略管理。这些角色包括:·设备管理员(防火墙、入侵防御系统、端点代理等)·安全工程师工程和体系结构架构师和工程角色是推进和改进安全操作的关键。这些角色可以是关联工程师,负责编写新用例、收集和运行新日志。这些角色也可以是编写自定义工具的开发人员,或者是帮助推荐和实施新工具的集成架构师。这些角色包括:?开发人员?安全架构师?安全工程师保护和防御这些角色在本质上往往是主动的,有助于在威胁行为者利用它们之前识别安全漏洞并改善安全态势。这些角色包括:威胁猎手漏洞管理员渗透测试员威胁情报在某些情况下,威胁情报是唯一的SOC职能。在其他情况下,威胁情报与其他角色相结合。英特尔分析师跟踪威胁形势,包括可能针对组织的威胁行为者和活动。在大多数情况下,情报分析师与工程师和架构师密切合作,以确保提前部署适当的检测工具。威胁情报分析师威胁研究分析师监督和治理这些角色可以包括管理职位,以帮助制定政策、管理安全预算和保持合规性。这些角色包括:?合规官?安全意识和培训专业人员?SOC经理?首席信息安全官SOC角色的演变随着网络安全行业的发展,SOC中所需的角色也在不断演变。我们正处于一个过渡期,各地的SOC都在寻求从被动的、警报驱动的方法过渡到主动的、“智能”的方法,向“SOC2.0”迈进。警报疲劳也是SOC员工的真正驱动因素。它加剧了长期的人员配置和保留挑战,并加剧了人员短缺。周而复始,SOC在“聘用-培训-更换”的循环中不能自拔。随着职业选择向上发展并达到高质量,SOC不断通过分析师完成培训。这是一个不可持续的循环。因此,越来越多的公司希望识别和自动化日常任务。SOAR(安全编排、自动化和响应)平台的受欢迎程度持续上升,许多公司开始引入机器学习元素来进行初始警报分类。虽然以前的L1分析师的大部分工作已经自动化,但其余的警报仍然需要深入的分析技能。这也将导致SOC内部角色专业化程度的提高,进而带动对更高价值技能的需求,为员工职业发展带来新的机遇,推动SOC整体向更成熟的方向发展。SOC2.0时代的招聘作为招聘经理,我通常更看重人格特质而不是技能,因为技能是可以传授的。例如,当我聘请分析师时,我会优先选择那些天生好奇但又充满热情和积极性的人。这对我来说比熟悉特定的工具或平台更重要,因为这种特质证明无论使用什么工具,一个人都善于分析和调查。我喜欢修补匠和实验员,特别欢迎已经建立家庭实验室来检测和修补恶意软件的候选人。对于最高职位,我会选择具有最佳实践经验和知识的人。例如,要成为一名英特尔分析师,首先必须了解情报生命周期。通过研究行业框架(例如MITREATT&CK),更好地了解对手的战术、技术和程序。旨在获得高技术认证,例如攻击性安全认证专家或GIAC认证事件处理程序。在更高层次上,专业化是关键。我们还需要能够与其他利益相关者进行有效的互动和沟通。一般来说,职位越高,与客户的互动越频繁。技术技能是必不可少的,但团队成员还必须能够以合乎逻辑的方式向客户传达复杂的安全信息,并使客户能够就如何使用有限的资源来最大限度地提高安全性做出最佳决策。真实案例:Maze勒索软件最终,任何SOC的目标都是检测、分析和响应安全威胁。无论角色如何,SOC中的每个人都时刻牢记这一关键目标,我们必须为此创造一个高度协作的环境。当您查看我们的SOC最近处理的威胁时,您可以清楚地看到这一点。一个例子是Maze勒索软件。在我们的X-Force事件响应团队经历了几次交锋之后,才明白Maze作案者是如何窃取数据、删除备份、加密文件以及扣留泄露的数据作为人质勒索赎金的。他们的团队会将一些窃取的数据发布在“耻辱墙”上,以恐吓受害者付款。随着我们的事件响应团队发现更多此类活动,我们的情报团队对威胁参与者有了更好的了解。在此基础上,情报组将发现的信息告知威胁猎手,由威胁猎手启动主动搜索,然后传递给相关工程师,由相关工程师推出新的检测工具,再交给“实时检测”监测组。这是真正的网络威胁周期。作者简介MirandaRitchieIBMSecurity全球服务交付执行官MirandaRitchie是IBMSecurity的全球服务交付执行官,负责管理全球分析团队,并通过将高素质人才集中于解决问题,为IBMMSS客户提供高质量的威胁预防和检测服务。*立即访问IBMSecurityZone,探索构建更强大、更安全的SOC2.0时代所需的技术。历史精彩文章推荐>>>*2021SIEM必看趋势:如何选择安全分析提供商关于IBMSecurity>>>IBMSecurity是IBM的信息安全解决方案和服务部门,凭借多年深耕全球和本地客户各行各业的经验。IBMSecurity保护着全球95%的世界500强企业和组织的信息安全。其客户涵盖金融、医疗、汽车、科技、电信、航空等行业的公司和集团,包括全球50家最大的金融和银行机构。49、全球最大的15家医疗机构中的14家、全球最大的15家科技公司中的14家等。IBMSecurity在Gartner、Forrester、IDC发布的12份不同分析报告中被列为Leaders的12项技术解决方案位居行业第一,和别的。
