下一代NOC/SOC聚合运营中心畅想

下一代NOC/SOC聚合运营中心畅想

引:在和一些客户或合作伙伴交流时,常常陷于NOC和SOC的讨论中:企业自有NOC或者运维团队如何引入安全运营从而提高企业整体IT运营水平?NOC团队如何与SOC团队对接整合?NOC团队自身的知识和能力能否提高和改善以实现更多的SOC功能?带着这些问题,我们做了一些研究和思考…

NOC & SOC

网络运营中心(NOC)是一个旨在管理,控制并监控网络基础架构的指挥中心,通常配备24x7x365全天候工作人员并持续监控网络中的中断、故障、关键事件和异常。
安全运营中心(SOC)是一个组织检测、分析、响应的团队,报告和预防企业网络中的网络安全事件。通常需要监控并分析基础架构以及安全产品中的异常和安全告警。

极其相似却根本不同

网络运营中心(NOC)和安全运营中心(SOC)如此相似,那是否可以轻松地处理对方的职责。为什么NOC不能处理这两种功能呢?为什么两个团队要分开工作,但又要彼此合作?

1,他们的角色微妙但根本不同。虽然两组都负责识别,调查,确定优先顺序和升级/解决问题,但问题的类型及其产生的影响却大不相同。具体而言,NOC负责处理影响性能或可用性的事件,同时SOC处理影响信息资产安全性的事件。每个人的目标都是管理风险,然而,他们实现这一目标的方式却截然不同

2,NOC的工作是满足服务水平协议(SLA)并以减少停机时间的方式管理事件 – 换言之,关注可用性和性能。 SOC是根据他们保护信息资产和敏感客户数据的能力来衡量的。虽然这两件事对组织的成功至关重要,但让一个人处理对方的职责可能会造成灾难,主要是因为他们的方法是如此不同。

3,NOC和SOC通常无法合并的另一个主要原因是因为每个组成员所需的技能组合差异很大。 NOC分析师必须精通网络,应用程序和系统工程,而SOC分析师则需要安全工程技能。

4,此外,两个团队战斗的对手的本质不同,SOC集中在“智能对手”,而NOC主要处理自然发生的系统事件

参考:2017年SANS调研报告

下一代NOC/SOC聚合运营中心畅想插图

NOC/SOC集成聚合可以提高效率

SOC(安全运营中心)和NOC(网络运营中心)都为您的网络提供重要功能。虽然每个都有不同的功能,但存在重要的重叠,可以利用这些重叠来提高组织的效率。

SOC员工必须快速评估和响应安全事件,以便在可能对业务产生负面影响之前解决网络安全问题,而NOC员工则负责确保企业的基础架构最大的可用性并确保管理需求实现。SOC和NOC需要不断处理他们需要处理的工作,但他们的目标是不同的。当企业网络有两种类型的运营中心时,它们可以一起工作吗?是否有可以精简团队?

SOC / NOC冗余需要识别和消除

当SOC和NOC重复执行任务和功能时,冗余可能会使组织效率低下且成本高昂。如果整合了SOC和NOC会怎样呢?有好处吗?

假设发现网络异常。例如,设备停止工作。像SOC分析师一样思考的人会考虑该设备是否受到网络攻击。像NOC分析师一样思考的人会考虑该设备是否因某些非网络安全相关原因而失败。如果SOC无法找到网络攻击的迹象,那么他们继续前进。如果设备因网络攻击而发生故障,则NOC可能无法识别它。

在这种情况下 – 以及每天在全球各地的SOC和NOC中发生的无数其他事件 – 如果SOC和NOC联合起来而不是重复努力,那将会更有效率。另外,安全操作和网络操作可能成为一方面不知道另一只手正在做什么的问题的牺牲品。

NOC和SOC汇集层面分析

NOC和SOC都有事件和响应团队、呼叫中心和监控。这两个中心都在努力确保您IT资产的完整性和可用性,并且可以很好地协同工作,但很少有企业真正集成这些功能。

正确集成的SOC / NOC(也称为综合运营中心(IOC))汇集在三个不同的层面:

  • 组织层面:需要交叉关联,共享NOC / SOC监控工具的模式识别,分类并协作。
  • 系统层面:需要标准操作程序,流程集成和服务级别协议(SLA)。
  • 资产层面:需要共享使用信息容器,该容器收集所有相关的网络监视数据和日志,并通过集成工具和仪表板进行分发。

改善事件响应和整体网络效率的潜力应该是显而易见的。让我们来看看它对NOC和SOC中的各个级别意味着什么。

最多的集成可以在第一层完成。此级别在SOC和NOC中具有类似功能 – 警报监控,警报分类和监控网络和安全传感器的运行状况。

第二层和第三层是我们开始看到更大变化的地方.

SOCNOC
Tier1实时监控(工况)、告警识别、呼叫中心实时监控(安全)、告警识别、呼叫中心
Tier 2安全事件分析,补救建议和对新威胁检测方法的支持。 与网络和基础设施供应商协调,支持故障管理和变更执行。

Tier 3
事件搜寻,开发新的威胁检测分析,威胁情报,取证和恶意软件逆向工程 问题管理,变更验证以及性能监控和报告

由此我们设计出以下的模型,核心职能和知识差异化较大的Tier2/3层两者相对独立,而Tier1、流程、工单以及事件响应团队完全可以实现真正的集成,从而降低无效冗余提升组织运营效率。

下一代NOC/SOC聚合运营中心畅想插图(1)

模拟NOC/SOC聚合运营流程

同时,我们模拟出NOC/SOC聚合运营的流程,将双方使用的各种技术和流程汇集在一起​​,以简化日常活动,更快地解决事件并集中协作。

下一代NOC/SOC聚合运营中心畅想插图(2)


Walt

评论已关闭。
Translate »