浅谈SOC——衡量、事件响应与人员配备

浅谈SOC——衡量、事件响应与人员配备

     随着网络安全受重视程度的日益提高,越来越多的安全产品和工具开始走入更多企业和个人的视线。据 ESG 的研究发现,36% 的企业正在积极集成不同的安全分析和操作工具,以搭建集成度更高的安全技术体系结构。另有 48% 的企业表示,他们正积极开展安全分析和运营工具集成方面的工作。

而对SOC这一通过对海量数据进行多维、智能的持续分析,为用户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力,并帮助企业及时采取相应措施、保障信息系统安全、最终帮助用户实现全生命周期安全运营的重要安全产品的认知,也许我们可以更深入一些。
浅谈SOC——衡量、事件响应与人员配备

●●●

如何衡量SOC?

      如何判定一个企业或是组织的SOC运作是否良好?其实由于组织和公司形式不尽相同,衡量标准也不可能一刀切。但毋庸置疑的是,不错的SOC架构一定有某些共通特质。

       通常,我们在衡量一个SOC时,可以先从SOC的基本要素和基本功能着手,即:预防、监控、监测、响应和报告。SOC在对大量数据进行收集和持续分析后,为用户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等,并帮助企业和组织及时采取相应的安全措施,保障信息系统安全,以此实现用户全生命周期的安全运营。SOC的职责一般包括:Incident Response (应急响应);Malware Analysis (病毒分析);Digital Forensics (电子取证);Threat Hunting (入侵检测);Threat Intelligence (威胁情报);Vulnerability Management (漏洞管理);Penetration Testing (渗透测试)以及Red Teaming。而目前来说,最有效最便捷的测试方法则是测试SOC在应对红队资产渗透时的反应。

浅谈SOC——衡量、事件响应与人员配备

SOC如何完成事件响应

浅谈SOC——衡量、事件响应与人员配备

       应急响应是SOC 的一项重点和关键功能。一般情况下,在企业用户充分授权的前提下,任何安全事件的应急响应都可以分为以下几个阶段:

        Assessment(评估):这个阶段主要是初步梳理安全事件的类型,产生的原因和评估潜在影响范围;

       Containment(控制):这个阶段主要是找到可以快速止损、减轻事件影响的办法,并将其控制在最小范围内;

       Eradication(消除):这个阶段是一般需要找到安全事件产生的根本原因,并寻求和实施根治方案;

       Recovery(恢复):这阶段需要通过操作确保所有受影响的系统或者服务完全恢复到安全状态;

       Review(总结和审查):这是每个应急响应的最后阶段。在此阶段,主要需要总结和梳理安全事件处理和响应的整个时间线以及应对方案,学习和审查安全事件产生的根本原因并生成知识库以便以后遇到同类安全事件可以快速地找到处理和应对的方法。

SOC是否需要7*24?

浅谈SOC——衡量、事件响应与人员配备

浅谈SOC——衡量、事件响应与人员配备

      其实很多公司或组织的SOC,基于资源和需求的考量,既没有配备全面的7*24运营中心,也并非完全未涉及7*24相关服务。一些公司或组织的SOC是根据业务时间来配置模式的,例如一些企业推出了12*5模式,并在周末搭配8小时的骨干人员配置。当然在一些大型企业中,7*24的配置也是确实存在的。而在决定SOC中心的运转模式前人员配置也是一个挑战,他取决于多个因素的考量;公司的正常营业时间是怎样的?用户在下班后还能访问到相关的IT资源吗?是否有业务依赖于7*24的全运营模式?如果在下班后受到攻击,除了7*24专门团队外是否有人能及时发现并响应?公司人员数量和资金是否能够支撑配置7*24的轮换团队……

浅谈SOC——衡量、事件响应与人员配备

      非7*24SOC团队可能会在实际运营中遇到很多问题,例如在工作日的一早和每周一可能会因为过多需要处理的问题而手忙脚乱。近来,寻求第三方安全托管机构“SOC-as-a-Service”服务,在避免过多一次性投资的基础上实现全方位全时段的安全保障也已成为越来越多企业的选择。而7*24团队在具体运营中则有一些注意事项和建议:

     在所有时间段,7*24SOC中心都应保持有团队成员在第一现场。两人一组的监控模式是最佳的选择,因为可以避免单独一个人面对敏感数据时的意外,同时一个人长时间守在运营中心可能会有孤独感和其他负面情绪产生。但具体可视实际需求和客观条件而定。而当团队中有人需要离开房间时需要做好交接;

      由于夜间的SOC安全中心轮班人员很容易把时间和精力分散到一些电视和社交网站平台上,因此对于夜间轮班人员要规定一些定期交付的工作成果和输出,并提供关于白天提到一些情况的反馈。此外,由于夜间被打扰的概率更小,其实更适合做一些专注需求高的特殊工作,例如漏洞的深度分析、网络情报分析等。

      设置轮换制度和请假制度。同时,由于夜间工作的特殊性,可在刚开始的一段时间由首席或自身安全分析师轮值夜班。而昼夜轮班制度则可以有效避免团队内部工作效率长期不平衡的情况。

(参考资料:1. Ten Strategies of a World-Class Cybersecurity Operations     Center,Carson Zimmerman;

2.https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-soc.html

3.企业安全之红蓝对抗,翼盾智能&第五空间)

浅谈SOC——衡量、事件响应与人员配备

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

Darlena

评论已关闭。
Translate »