Gartner的首席研究分析师Siddharth Deshpande对于安全运营中心趋势的看法以及对安全服务提供商的建议…

在迪拜举行Gartner 安全和风险管理峰会之前，Gartner的首席研究分析师Siddharth Deshpande回答了有关安全运营中心趋势的问题并对安全服务供应商提出了一些建议。

Q： 什么是安全运营中心（SOC）？

A： 安全运营中心（SOC）既可以定义为团队——通常全天候轮班运行，也可以指专门用于预防、检测、评估和响应网络安全威胁和事件的设施，以评估、实现监管合规性。

Q： 拥有内部SOC是公司创建安全监控功能的唯一可行方式吗？

A： 构建SOC——或者通常创建某种形式的内部安全模块——是一项耗资巨大且耗时的工作，需要持续关注才能有效。实际上，许多组织（包括一些大型组织）并不选择构建SOC。相反，他们会选择其他安全监控选项，例如使用托管安全服务提供商（MSSP）。

思考建立内部SOC的首席信息安全官和技术领导者应该深刻认识到这种方法所涉及的成本和人员配备影响。内部SOC的建设和人员配备有很多替代方案，除了各种类型的SOC模型外，公司还应该探索其他可能。

Q： 什么是不同类型的SOC模型？

A：虚拟SOC

• 没有专用设施
• 兼职的团队成员
• 激活， 发生严重警报或事件时激活

专用SOC

• 专用设施
• 专用团队
• 完全在内部

分布式/共同管理的SOC

• 专用和兼职的团队成员
• 通常为5×8小时操作
• 与MSSP一起使用时，它是共同管理的

命令式SOC

• 协调其他SOC
• 提供威胁情报，态势感知和其他专业知识
• 很少直接参与日常运营

多功能SOC /网络运营中心（NOC）

• 拥有专用设备及专业团队，不仅可以执行安全工作，还可以从同一设备执行其他
• 关键的24 × 7 IT运营，以降低成本

联合SOC

融合了传统的SOC功能和新的功能，如威胁情报、计算机事件响应团队（CIRT）和操作技术（OT）功能，都集成到一个SOC设备中

以上六种模式都有客户的内部安全团队不同程度上的参与。除此以外，还有另一种“完全外包”的模式。在完全外包的模型中，服务提供商以最小（或最好是只是监督）的客户组织参与来构建和运营SOC。

Q： 为什么组织选择SOC？

A： 组织之所以构建内部安全运营功能模块（即使只是有限意义上的），是因为他们希望在安全监控和响应流程上拥有更多的控制权。同时，他们还希望与监管机构进行更有见地的对话。

构建SOC项目的战略业务影响使其成为组织的关键计划。决定推进内部SOC项目的组织以结构化的方式分配初始资金和后续的持续资金，且一旦获得批准，就期望项目尽快推进。

Q： 对于正在考虑提供能够使客户构建和运营SOC的服务的安全服务提供商（即供应商），您有哪些建议？

A：通过逐步提高控制程度，为客户提供关于业务价值的销售支持计划。帮助客户在可用选项之间进行选择，同时强化这样的信息：大多数组织几乎不可能采用完全的、自己动手的方法。

服务商提供的定价及服务目录应与买方的成熟度保持一致，使买方能够计划SOC项目的预算，最终目标是以结构化的方式为买方增加SOC成熟度。 供应商可以专注于针对SOC行业特定效用的案例，帮助客户培育其组织独有的SOC体系指标，从而获得竞争优势。

Q： 对于计划构建SOC功能的CISO，您有哪些主要建议？

• 在提交完全来源的SOC之前，对各种安全操作模型进行实际的成本效益分析
• 根据严格定义的目标与指标开发SOC，专注于将SOC可交付成果与业务目标保持一致
• 确定高商业价值和关键安全功能，并将其保留在内部
• 考虑使用MSSP服务来抵消24 × 7 SOC操作的成本并填补覆盖空白
• 从一开始就制定SOC员工保留策略