从外包到自建,谈SOC的建设(一)前沿技术
今天的安全专业人员需要随时能够获取的准确信息,获取这些信息对于安全人员有效并及时地应对安全事故至关重要。将所有的信息连接在一起是一件积极困难的事,因为这些信息散落在企业的各个角落。尽管困难重重,但这对于快速的应对而言非常关键。
不幸的是,我们发现诸如“Verizon数据泄露调查报告”(Verizon's Data Breach Investigation Report)这样的研究告诉我们这类事件并不多见。相反,破坏是在数月之后甚至是几年之后才被发现。导致这种问题的因素很多,包括缺乏训练有素和熟练的专业人员,能够提供准确、可操作信息的工具,以及使他们能够有效地开展工作的流程。
为了解决这些问题,一些组织已经建立了安全操作中心(SOC,security operations center),以打造所有安全操作的中心,简化事故处理流程,使安全人员之间的协同工作更加容易。这听起来不错,对不对?现实上,配置SOC是不容易的任务,它可能会非常昂贵,这也是公司决定将之外包出去的主要原因之一。
自建SOC,外包SOC,还是采取一种现场安全人员和管理安全服务相结合的混合方法?让我们先来看一下一个成功SOC需要具备的一些关键要素。
首先并且也是最重要的一点是,一个SOC需要高度熟练的安全专业人员,他能够调查安全事件,执行事件响应和取证,并且让组织能够安全地渡过数据破坏的危机。这些安全专家负责为管理层提供准确的信息,使企业能够作出正确的决定,如关键系统是否需要关闭来配合分析并防止数据泄露。
希望建立安全运营中心的企业,需要评估企业内部是否有这样的专业人员,什么样的培训能够让当前的工作人员达到他们需要的技术水平,以及是否需要增聘人员。内部招聘是一个不错的选择,因为内部人员更加了解业务和系统。此外,目前的系统和网络管理员是最好的,因为他们对于需要调查的系统有第一手的经验,并已经有了良好的故障排除技能。
安全运营中心的安置地点是另外一个可以帮助或阻碍团队成功的重要因素。大型企业可以选择一个独立于公司主要建筑物的独立设施,但对于预算拮据的企业而言并不可行。在现有的网络运营中心(NOC)或数据中心内放置SOC可以节约成本。更重要的是, SOC的工作人员能够在一起相互协作、交叉培训并鼓舞士气。
然而,人员和地点并不是唯一的考虑因素。实际上,要建立一个成功的SOC,需要有流程跟踪和支持性的预算,以保持它的运行。如预期而言,流程将建立在政策基础之上,但预算需要从管理中获得分配。没有一个足够多的预算,将很难留住优秀员工,购买必要的工具,并满足业务需求。这些艰难问题需要在建设内部SOC之前便做好打算。