HPE的《2017安全運營狀態報告》揭示:82%的安全運營中心(SOC)都沒有運行在最佳成熟度,沒有達到業務目標。
HPE(惠普企業)在2017年1月17日發布了其《安全運營狀態報告》,提供了SOC運營優劣的分析。其中最醒目的發現,就是82%的SOC都沒有處于最佳成熟度水平,對限制風險和保護業務運營助益不大。
該報告是第4期HPE年度安全運營狀態研究的報告,在對183個SOC進行評估的分析基礎之上構建而成。HPE了解SOC狀態的核心方法,就是安全運營成熟度模型(SOMM)。
SOMM采用5分制來衡量SOC成熟度
HPE企業安全產品專業服務全球副總裁馬特·施瑞納說:“不到1分,表示SOC還沒有恰當地記錄其過程和規程。與之相對,5分則表示歸檔記錄得非常好,而且非常嚴格。”
但是,盡管5分已經是最高的SOMM評分,它實際上并不是大部分需要SOC具備靈活性的公司的正確分數。如果某公司負責衛星網絡或軍事防御系統的安全,5分可能是適合的,因為精準是個重要的屬性。HPE建議一般公司企業尋求一個在3到4分之間的SOMM得分,兼具規程與靈活性。
報告中指出:27%的SOC都沒有達到1分的SOMM標準。有些企業覺得自己擁有SOC,但往往不過是幾個人湊一起,而不是一個訓練有素有章可循的團隊。
更大的問題是,82%的SOC都沒有達成業務目標。
有效的SOC,不是安全人員因為喜歡研究最新安全威脅而做的事情,應該是尋求保護業務的特定方面。
很多SOC從邊界安全監視任務開始,按統一的方式管理防火墻和入侵檢測系統。
但今天的攻擊者已經遠遠不限于邊界攻擊了,他們演變得更為復雜,僅靠邊界防護遠遠不夠。
簡單地搜尋漏洞和潛在漏洞,同樣不是成熟SOC的正確方式。報告發現,有些企業有大量數據有待篩查,大海撈針似的查找攻擊指標(IOC)。
篩查很有價值,很重要,但還不夠。實時監視也是必要的。
實時監視也檢測不出所有威脅,HPE建議成熟的SOC采納篩查和監視兩種技術來檢測潛在威脅。
HPE還建議企業對SOC的度量,從IT度量標準轉變到更為業務相關的標準上。比如說,IT指標通常包括被防火墻封鎖的對象數量、檢測到的病毒數量等。
這些指標在圖表中看起來挺好,但對管理業務風險而言毫無意義。能捕捉到對部分業務的特定攻擊的實際檢測數量,才是有效的業務度量標準。
舉個例子,一個有用的業務度量標準,就是追蹤雇員潛在未授權動作的數量。
雖然SOMM得分尚不能完全反映,開發運維模型和安全之間的交集也越來越多。HPE有獨立的安全開發運維顧問團隊從事這方面工作。
綜合近5年的技術、流程、人員、業務數值所得出的SOMM得分
今天的SOC就是處理網絡防御計劃相關的人、過程和技術組件的。安全開發運維適合應用安全,而應用安全在今天已經是一個完全不同的領域了。
比如說,如果某應用掃描技術發現了一個漏洞,主管更偏向看到通過SOC的某種形式的協同。也就是說,SOC里工作的安全分析師常常具備網絡安全背景,而不是應用專家。有些企業正試圖將他們的SOC和應用安全團隊捏合到一起以幫助限制風險。
很多數據泄露發生在應用層,而安全支出尚未鋪開到應用層。不過,情況開始有所轉變。我們可以看到有企業領導層開始詢問該怎樣以協同工作的方式整合安全了。
京公網安備 11010502049343號