运行一个更高效的IT安全操作中心:如何保持任务在目标上

信息技术安全是企业每天处理的最重要的任务之一，随着业务的发展，重新评估公司的安全运营中心(SOC)是如何运作的至关重要。 这意味着研究SOC是否配备了适当的人员，它应该在内部运行还是外包，并评估是否应该引入更多的安全自动化。 这也意味着看一些看起来很小的东西，比如SOC团队成员是否坐得足够近（在大流行后的环境中），这样他们就可以有效地合作来保护一家公司。 这是由行业安全领袖组成的独立小组网络复原力智囊团在一份新的9页报告“改变SOC：建设明天的安全行动，今天”中提出的一些趋势和建议。 该报告通过电子邮件和数据安全供应商Mimecast发布，列出了战略和问题，作为任何规模的组织工作，以创建或更新其SOC程序和保护。

对于任何企业来说，SOC都是由IT安全分析师和专家组成的团队，他们负责24/7监测、评估和维护公司的安全操作，并管理网络罪犯所针对的攻击向量。 SOC团队与负责保护公司IT系统、数据和员工免受直接攻击的日常职责的其他安全人员合作。 报告总结说，每个组织都是不同的，有不同的SOC需求，这意味着企业必须定期向内看，并评估他们的SOC是如何从上到下保护他们的组织的。 报告指出，在人员配置方面，SOC办公室可能总是处于拥有适当数量的人员的边缘，这些人员具有必要的安全资格，以做好他们的工作。 在整个商业世界，缺乏熟练的IT人员是成群结队的，当涉及到有足够的IT安全人员时，这一点可能更加严重。

报告指出，一个答案是利用这一机会进一步培训和提升现有工作人员，为他们提供额外教育，使他们掌握一个组织所需的技能。 总部位于非洲的金融服务提供商AbsaGroup的网络安全运营主管Claus Tepper说：“我们的主要动力是技能。 “我认为，南非和其他地方一样，从根本上来说，要让合适的人加入进来是一个挑战。” 为了帮助他的公司在他们已经拥有的员工中找到所需的技能，Absa集团开始了一所内部学院，以发展和进一步培训员工，以填补现有的IT安全漏洞。 报告指出，随着企业的发展，评估现有的内部SOC是否更适合外包以提高业务效率也是明智的。 当然，情况并不总是如此，而且将取决于每个公司的需求和情况，但花时间进行定期评估是明智的，可以帮助确保SOC的适当结构到位。 根据报告，关于SOC是否应保持内部或外包的决定是基于许多因素，包括业务需求、选择第三方SOC服务提供商、公司的IT安全需求等。

报告总结说，当外包在真正的网络安全伙伴关系中成功完成时，外部SOC团队可以成为公司整体SOC战略和运营的重要合作伙伴。 然而，一个风险是，如果外包团队与其他IT人员不在同一办公室，沟通或信任问题可能会发展为对业务有害的问题。

报告中强调的另一个趋势是，通过扩大可用于更好地保护公司IT资产的工具和策略，增加自动化如何能够帮助SOC工人和团队更加有效。 当自动化提前建立起来，在工作任务变得更重、更复杂之前，它就更有价值了。 CR智库和漏洞风险管理供应商Rapid7首席信息安全官Shawn Valle说：“软件开发人员基于API构建，然后在API之上构建UI，这在SEC操作团队中是值得探索的。 “我们认为，这种从一开始就建立自动化的策略使分析人员变得更强大、更好，而不是使用更少的人。” Cybereason公司的首席安全官萨姆？库里(SamCurry)说，与此同时，公司不应该只是自动操作，而忽略了人的接触。

“自动化本身就是一种脆弱性，”库里说。 “你必须以伪随机间隔检查你的盲点，看看谁藏在那里，因为机器将变得可预测，因此是可开发的。 因此，任务不是为了自动化，而是使人类更有效，在不削弱整体的情况下提高其产出的价值。 报告还说，值得定期评估的是一家公司的SOC的细节，比如SOC分析师是否真的坐得足够近，以提高部门的最大运营效率。

在SOC团队成员位于办公室的地方可以产生很大的差异，报告补充说，例如将技术和安全团队放置在彼此旁边，以培养创造力、敏捷性和更好的沟通。 在另一个例子中，将SOC团队定位在产品团队旁边可以促进新的效率，并为工具构建等创造新的想法。 不要忘记远程工作人员，他们也需要与内部团队进行良好和频繁的沟通，以确保他们都符合团队的优先事项和目标。 当涉及到定期检查SOC部门和操作时，由于SOC的巨大安全效益，时间是值得努力的。 Mimecast安全意识和威胁情报产品高级副总裁兼总经理Michael Madon说：“数据是SOC的命脉。 这些预防系统是SOC的关键数据源，以满足其成功指标、驱动检测和集成上下文，并能够更快地阻止威胁。