4min. read

传统的安全操作中心 (SOC) 是在一种持续了几十年的模型基础上构建而成的,然而,它已经不再 有效。企业和威胁环境已经发生太多变化,“传统方法”已无法奏效。

现在正是做出改变以启用现代 SOC 的最佳时机,我们可以进行 SOC 整合来取得更好的成效,提 升修复速度、降低风险并获得更强大的安全态势。

那么,SOC 究竟发生了哪些变化?

在传统 SOC 中,IT 安全人员并肩而坐,近距离观看屏幕内容。这些屏幕加载了无数详细信息,提供来自数十种安 全工具的视图和数据,屏幕上会滚动显示警报,看似永无止境。这种传统的 SOC 模型总是试图在与警报和资源的 时间赛跑中跟上节奏,但它们从来没赢过。

疫情的发生,使传统 SOC 模型面临的多重挑战更加严峻。资源变得比以往任何时候都更加紧张,通常情况下,不 再可能让每个人都实际参与到 SOC 的工作中。与此同时,威胁形势呈爆炸式增长,重大网络事件以前所未有的速 度增加。

要应对这些新的现实情况,意味着现代 SOC 必须进行整合,做到事半功倍,同时还要针对当今和未来的现实和需 求优化实践。

导致传统 SOC 面临挑战的三个问题

在传统 SOC 中,我们发现了三个导致不良结果和削弱安全态势的主要问题。

警报过多

简而言之,传统 SOC 正试图管理大量难以处理的警报。巨大的工作量导致警报疲劳,这确实会拖慢企业的处理速 度。由于警报太多,那些潜在的重大问题可能会因隐藏在大量警报干扰下而被忽略。

针对警报过多的解决方案是提高保真度,这样一来,只有出现重要问题时才会生成警报。提高保真度意味着,需要 使用合适的流程和工具来优化 SOC 提取的日志和数据。

安全产品过多

对我们来说,一个屡见不鲜的关键挑战是,人们使用的安全产品太多。事实上,普通企业可能会部署数十种网络安 全产品。

我们遇到过这样的企业,它们的端点上可能有四五个不同的代理,甚至会使用多种类型的防火墙。这样绝对会造成 严重的混乱情况。不同的安全资产间无法相互通信,这会形成一种非常混乱的局面。管理所有工具所需的工作量给 已经不堪重负的运营人员增加了不必要的复杂性。

只有那些无视优先级和所用工具的 SOC 才能成功应对这种局面。SOC 需要阐释他们想要达成的目标,然后找到实 现此目标所需的平台和解决方案。拥有一个通用平台,以便所有工具都可以使用相同的语言并相互通信,这对于 SOC 的成功至关重要。

手动流程过多

许多传统 SOC 依赖手动流程来处理日常运营和事件。琐碎的任务太多,需要人工完成大量的交互和棘手的问题, 这可能会令人麻木。当事件真正发生时,传统 SOC 将制定一份手动操作剧本,以重温上次发生类似事件时 SOC 所 采取的步骤,然后一遍又一遍地手动重复这些步骤。

手动流程无法扩展,它们让 SOC 分析师感到精疲力尽,无法应对现代 SOC 的大量活动。手动流程无法有效实现快 速的平均检测时间和快速的响应时间。

我们需要使用智能机器学习和自动化功能处理大批量流程,从而释放人力资源,让他们能够专注于处理关键任务。

SOC 整合为数字化转型提供了绝佳时机

IT 行业正在朝着更加同质化的环境和更加整合的方向发展。过去,每个公司的本地环境在各个方面都大不相同。 而如今,大量使用通用 SaaS 和 IaaS 工具集的企业开始向云端迁移。随着企业逐渐迁移到云端,一些在本地使用 的传统产品不再适用。现在需要的是专注于云端的新一代安全产品,它们可以帮助我们提高效率。

鉴于企业正在向云端迁移并进行数字化转型,现在是时候进行重置了。眼下正是查看 SOC 中使用的安全产品和工 具,并确定它们各自的投资回报 (ROI) 的好时机,可以将这些安全投资整合到一组核心功能中,这些功能可在平台 中定义。

SOC 整合有助于进行防御和保护

在任何企业中,无序扩张都是安全的大敌。以 2021 年 12 月底压倒 SOC 的Log4j安全事件为例。该事件源自一个 应用库中的安全漏洞,许多不同的位置都存在此漏洞。在运行 75 到 80 种不同工具的传统 SOC 中,识别、修复和 保护所有易受攻击的资产并非易事。

通过采用平台方法来消除 SOC 整合的无序扩张可能会产生非常强大的影响。避免发生像 Log4j 这样的问题其实是 一个协调性的活动,而不是一组迥然不同的手动流程。

SOC 整合可以为安全团队提供支持

SOC 整合对于企业员工而言也是一件非常利好的事情,这或许是更重要的事。传统的 SOC 通常被视为进入网络安 全领域的敲门砖,而不是职业生涯的全部。这是因为,SOC 员工通常会被各种事件所淹没,承受着巨大的压力, 因此不得不使用手动和传统的混乱模型来处理问题。

如果只是将 SOC 作为一种进入安全行业的过渡手段,那么这个模型非常糟糕。这意味着您没有培养相应的人员来 构建一个非常有效的 SOC。相反,一些员工在 SOC 中“花时间”体验过后,便转而从事其他更有前途的角色。

整合 SOC 时,也会改变 SOC 及其内部人员的工作方式。因此,SOC 员工不需要再做同样重复且枯燥的工作,他们 现在可以专注于高价值的项目并开展创新。他们将不断改进技术并更加有效地进行威胁搜寻。所有这些改变的结果 都让他们更快乐,因为他们所从事的工作可以产生有意义的影响,并实现其全部承诺。不再只是一种可怕的“轮子 上的仓鼠”心态了。而且快乐、有成就感的员工就不容易跳槽,他们会努力将系统做得更加完善。

没有企业会将时间和资源浪费在使用分散在不同工具上的手动流程来筛选无休止的警报上,而且这些工具无法很好 地协同工作。整合 SOC 的时机已经到来,是时候创建一个现代化且能够处理当今复杂威胁的 SOC 了。


整合、简化、协调、自动化。