企業(yè)對安全運營中心（SOC）的投入真的有用嗎？

責(zé)任編輯：editor005 作者：孫毛毛 |來源：企業(yè)網(wǎng)D1Net 2016-12-23 14:48:19 本文摘自：黑客與極客

對企業(yè)用戶而言，是否總會感覺，花了錢和時間搞的安全措施沒有達到預(yù)期中的效果？這可能是很多企業(yè)高層的困擾。不過，至少有一個可能是例外：安全運營中心（SOC）已經(jīng)在幫助企業(yè)減少安全事故和提高運營的成熟度方面做出了切實貢獻。

SOC的確加強了企業(yè)的安全能力

微信截圖_20161220171151.png

根據(jù)McAfee實驗室在2016年12月發(fā)布的威脅報告可知，雖然各企業(yè)的發(fā)展階段存在差異，但目前已有84%的商業(yè)組織和91%的企業(yè)在采用SOC。Intel Security（也就是McAfee）在這份報告中的調(diào)查對象包括加拿大、德國、英國和美國的近400名安全從業(yè)人員。研究發(fā)現(xiàn)，雖然攻擊頻率不斷上升、企業(yè)收到的安全警報也遠超其自身解決問題的能力，但是絕大多數(shù)企業(yè)在這個過程中也在不斷增強自身的防御能力和檢測水平。

SOC的風(fēng)格多樣，從專門的設(shè)備控制到實質(zhì)工作的安排。但最常見的SOC，是多功能SOC/NOC（網(wǎng)絡(luò)操作中心）部署方式。所謂的多功能SOC/NOC，實際上是個集中型模型（centralized model），它反映出企業(yè)人員配置方面的挑戰(zhàn)，以及安全對IT而言越來越重要的地位。在這種模型下，企業(yè)內(nèi)會有專門的安全人員去持續(xù)監(jiān)控網(wǎng)絡(luò)事件，網(wǎng)絡(luò)的可用性，以及安全事件——這既節(jié)約了運營成本，又加強了可靠性。

SOC致力于更清楚和深入的去了解攻擊。調(diào)查中67%的受訪者稱網(wǎng)絡(luò)攻擊數(shù)量呈增加趨勢，他們認為這很有可能是因為企業(yè)的監(jiān)測能力變強了，當(dāng)然也有可能是攻擊數(shù)量的確在增加。僅有7%的受訪者認為過去一年，企業(yè)遭受的攻擊數(shù)量呈下降趨勢，他們將這歸功于企業(yè)采取了有效的預(yù)防和更完善的安全流程。

　　不應(yīng)僅是單純檢測

這份報告還體現(xiàn)出一件很關(guān)鍵的事情：其實很多公司采用的安全系統(tǒng)或者工具是可以有效的檢測出入侵行為，發(fā)起警報的；但企業(yè)卻沒能及時響應(yīng)這些警報，有效解決問題。在不同類型、規(guī)模、位置的企業(yè)，都有平均25%的告警從未被處理。

只有22%的企業(yè)足夠幸運，沒有因此造成損失；有53%的企業(yè)遭遇少量損失；而25%的企業(yè)損失較為嚴重，就是因為沒有及時調(diào)查之前的警報。

微信截圖_20161220142906.png

就是因為存在以上這種安全警報未處理的情況，再加上有經(jīng)驗的安全人員的缺乏，有64%的企業(yè)會尋求安全服務(wù)管理供應(yīng)商（MSSPs）的幫助。這些企業(yè)通常會采用企業(yè)與這些第三方供應(yīng)商協(xié)同工作的形式。MSSP提供的服務(wù)從低到高分為多個等級，最頂級的服務(wù)包括7/24的不間斷安全監(jiān)控，能避免員工因持續(xù)工作產(chǎn)生的問題。

也有五分之一的企業(yè)會利用專業(yè)第三方來完善內(nèi)部安全，第三方專業(yè)服務(wù)包括了高級威脅監(jiān)測、應(yīng)急響應(yīng)和威脅捕獲（Threat Hunting）等。企業(yè)無論是選擇完善內(nèi)部還是尋求第三方的外部幫助都要結(jié)合自身情況來進行選擇，需要考量員工的能力和技術(shù)水平等因素。但一般來說，公司越大，自身解決問題的能力越強，越少依賴于第三方。

調(diào)查還發(fā)現(xiàn)，威脅捕獲（Threat Hunting）逐漸變成了一個十分有效的機制——這也是最近的一個熱詞，它能在企業(yè)被入侵后及時止損。目前有超過65%配備SOC的企業(yè)有正式的威脅捕獲團隊。

未來的方向性調(diào)整

要從實用的角度去管理一個SOC。完美的預(yù)防是不可能實現(xiàn)的，所以企業(yè)一般會更強調(diào)能否快速檢測出攻擊并實施應(yīng)急響應(yīng)。很多企業(yè)會利用像SIEM這樣的系統(tǒng)和分析來將威脅數(shù)據(jù)、信譽源和薄弱環(huán)節(jié)組織成一個全面的實時環(huán)境。

提高對上下文的感知以及可操作情報，能幫助企業(yè)有條理地按照一定優(yōu)先級來對事件進行響應(yīng)，結(jié)果才能更快的控制和緩和攻擊帶來的威脅。目前企業(yè)經(jīng)常將對攻擊的監(jiān)測放在首位，但這只會導(dǎo)致積壓的警報越來越多，企業(yè)也沒有那么多時間去逐一調(diào)查。企業(yè)更應(yīng)該投資安全分析，將會幫助企業(yè)理解這些數(shù)據(jù)，通過關(guān)聯(lián)能力和機器學(xué)習(xí)來對事件調(diào)查進行優(yōu)先級排列，同時對風(fēng)險進行評估。

如前文所述，很多事件告警都沒有被認真對待，但是被調(diào)查的企業(yè)的確在檢測方面投入了極大成本。所以絕大多數(shù)公司在未來的12到18個月會將數(shù)據(jù)保護的側(cè)重點放在優(yōu)先級、風(fēng)險評估等方面而不是單純的檢測了。

SOC的部署也不是停滯不前的。企業(yè)從監(jiān)控到事件管理，再到攻擊調(diào)查，也在逐步發(fā)展。總的來說，未來對SOC的投入重點應(yīng)該在以下的幾個方面：

1.針對已確認的攻擊，提高事件響應(yīng)能力；

2.加強對潛在攻擊的監(jiān)測能力；

3.改進對潛在攻擊的調(diào)查能力。

關(guān)鍵字：SoC SIEM 安全運營