安全運營中心:是買,是租,還是拼?
對網(wǎng)絡(luò)罪犯來說,每個人都是攻擊目標(biāo),而完美防御是不存在的。我們必須假定每家公司的IT基礎(chǔ)設(shè)施在某個時候都會被滲漏。所以我們得持續(xù)監(jiān)視、調(diào)查和響應(yīng)網(wǎng)絡(luò)威脅,全年無休,這樣才可以避免重大數(shù)據(jù)泄露事件和對公司聲譽、盈利及客戶信任的潛在傷害。
而有什么方法是比設(shè)立安全運營中心(SOC)更能提供持續(xù)監(jiān)視與分析的嗎?SOC的人員、過程和平臺可以針對整個企業(yè)的所有網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用及數(shù)據(jù)庫實現(xiàn)持續(xù)不斷的監(jiān)視,為檢測和挖掘潛在威脅提供專家知識。SOC的一個主要好處就是可以通過減少攻擊者的駐留時間來防止災(zāi)難性數(shù)據(jù)泄露影響。(駐留時間指的是從攻擊者入侵網(wǎng)絡(luò)到公司發(fā)現(xiàn)該入侵狀況之間的時間,攻擊者入侵網(wǎng)絡(luò)往往只需要幾分鐘,而公司企業(yè)卻可能幾個月后才發(fā)現(xiàn)被入侵了。)
一、成本和復(fù)雜性是主要障礙
無論從哪個角度看,SOC都是復(fù)雜而昂貴的設(shè)置。設(shè)立并維護SOC需要很多專業(yè)硬件及軟件來產(chǎn)生事件及警報,而這些事件和警報又需要聘用高級安全分析師進行審查,才確定哪些代表著真正的威脅。
1. 平臺很貴。
想要獲得可見性基礎(chǔ),適應(yīng)公司環(huán)境的安全信息與事件管理(SIEM)系統(tǒng)是必備,其他還有防火墻、IPS/IDS、漏洞評估工具、終端監(jiān)視解決方案等等。所有這些還都需要不斷饋送特定于公司目標(biāo)和風(fēng)險承受力的威脅情報,其產(chǎn)生的結(jié)果還得經(jīng)機器學(xué)習(xí)增強和由人類專家微調(diào)。
2. 過程同樣不便宜。
需編寫詳細的特定于公司具體情況的操作手冊,闡明發(fā)生勒索軟件攻擊、惡意軟件感染、分布式拒絕服務(wù)(DDoS)攻擊或其他威脅時應(yīng)該做些什么。這些手冊具體規(guī)定了應(yīng)該怎么調(diào)查、收集哪些證據(jù)、何時需要升級以及如何升級。
3. 最貴的是人。
安全人才緊缺的情況是全球性的,具備持續(xù)監(jiān)測所需知識廣度和深度的高級安全分析師已經(jīng)很難雇到了,想組隊就更難了。而在人才爭奪戰(zhàn)愈演愈烈的情況下,想留住這些人才更是難上加難。
二、完整SOC:平臺、人員、過程
三、找出最佳路線
實現(xiàn)持續(xù)覆蓋的目標(biāo)不是簡單的自己建還是直接買的決策,而更類似于決定是買還是租,或者是共同管理:自行打造SOC,外包SIEM(或SOC)平臺,或者使用共管SOC解決方案。
1. 構(gòu)建自己的SOC就好像買輛車從A地開到B地。
你得承受所有平臺、過程和人員開支,但你可以擁有對行進方向和方式的完全控制權(quán)(比如自家公司認為什么才是風(fēng)險、威脅和響應(yīng))。當(dāng)然,成本和復(fù)雜性可能讓人望而卻步。
2. 外包SIEM或SOC平臺就好像租車。
不用購買硬件,但仍需自己執(zhí)行所有過程,必須雇傭、培訓(xùn)和留住你自己的SOC團隊。這比自行打造SOC要便宜些,但開銷依然可觀。
3. 利用共管SOC解決方案就好像拼車到達目的地。
以經(jīng)驗豐富的安全專家增強內(nèi)部團隊,用成熟的過程驅(qū)動強力SIEM平臺,而且還享有對最終目的地的控制權(quán)。共管SOC確保聯(lián)合團隊協(xié)同運作以實現(xiàn)客戶公司的安全目標(biāo)。
四、拼出個SOC
我們的目標(biāo)是從當(dāng)前的安全與合規(guī)狀態(tài)邁向更健壯的安全態(tài)勢、合規(guī)自信與事件準(zhǔn)備度。顯然,達成該目標(biāo)最具成本效益的方式就是通過共管SOC,也就是“拼”的方式。這么做可以最低的成本獲得最佳的人員、過程和平臺。不僅避免了人員和過程開銷,還保住了自家公司的特定需求:公司風(fēng)險承受力、市場現(xiàn)實和公司重要事項的定義權(quán)。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
