多年来,安全运营中心 (SOC) 随着威胁形势的变化而不断发展。它曾经是政府和军队组织的专利,如今越来越多地被推荐给各种规模的企业,甚至包含中小企业。然而,建立一个专门的团队和设施来全天候监控威胁并不容易。可能会面临技能和资金的短缺。这就是为何许多公司将这些责任交给受信任的第三方的原因。然而,决定外包只是第一步,接下来才是困难的部分——选择合适的供应商。
事实上,并非所有托管 SOC 产品都一样。寻找合适的合作伙伴是一场比许多人意识到的风险更高的游戏。一旦弄错了,网络风险和成本可能会迅速失控。
网络攻击不断
投资 SOC 的主要驱动力是可预测的。近年来,网络威胁的数量和复杂程度都在飙升。这在勒索软件领域最为明显,网络犯罪的创新导致了“即服务”产品的使用,使广泛的附属组织拥有了攻击能力。去年,勒索软件被视为英国人民的最大在线威胁。
尽管在安全方面投入了大量资金(据估计,去年安全方面的投资激增了60%),但黑客入侵仍在继续造成重大的财务和声誉损失。根据政府数据显示,去年有五分之二(39%)的英国机构遭受过数据泄漏或网络攻击,其中中型企业和大型企业分别达到59%和72%。
由于暗网上流传着大量被破坏的凭证(估计有 270 亿个),威胁参与者可以直接访问目标网络而不会引发任何警报。如果不能直接访问,他们可以利用去年发布的 2万多个漏洞,或者许多前几年仍未修补的漏洞。更有甚者,他们可以支付初始访问代理费用来为他们出力。
并非一帆风顺
这种复杂的威胁形势意味着基于预防的安全性有其局限性。面对坚定的对手并肩负着要防御大型企业攻击面的任务,没有任何组织可以 100% 抵御攻击。这将使更多的注意力放在检测和响应上:在漏洞成为严重事件之前发现和解决漏洞。这就是安全运营 (SecOps) 和 SOC 的工作。
然而,也存在持续的挑战。首先要找到足够的人才来运营 SOC。整个行业的人才缺口达 270 万,而 SOC 分析师可以说是最难找的。由于警报过载带来的压力和倦怠,许多人计划退出,但这对他们并没有什么帮助。这通常归结为糟糕的工具输出数据和误报,无法对信号进行优先级排序。
这导致了另一个挑战:技术投资的成本。组织必须找到合适的工具组合,以提供分析师所需的洞察力,但是在竞争激烈的市场中这并不容易做到。SIEM 可能很有用,但通常需要不断调整才能有效,而许多 SOC 团队没有时间或资源来做到这一点。选择在内部执行 SecOps 的组织的财务负担正在增加。根据一项研究显示,由于管理的复杂性,超过一半的组织的感知投资回报率正在下降。同一份报告称,安全工程成本每年攀升至 300 万美元,但只有 51% 的人认为这些努力是有效的。
外包 SOC 有何意义
因此,越来越多的公司决定将其 SOC 功能完全外包。这使他们能够将技能问题转移给专门的组织,该组织拥有更多资源来寻找最聪明和最优秀的人才。它还消除了对设备和持续维护的昂贵前期投资的需要,并支持更高的运营敏捷性,比如如果组织决定需要新的检测和响应能力。
据估计,托管 SOC 市场在未来五年内将以近 11% 的速度增长,到 2027 年将达到 100 亿美元。但在一个快速增长的市场中,虽然有越来越多的选择,并非所有的都适合。重要的是要找到一个供应商,它不仅拥有支持客户扩展的资源,而且拥有一套正确的多层工具来正确完成这项工作。
这些工具应包括检测和响应工具,如 SIEM、EDR、日志管理、文件完整性监控和威胁查找。这些工具的综合力量甚至可以清除隐蔽的威胁。恶意行为者通常使用合法工具来隐藏在网络中。通过了解这些行为,SecOps 团队可以更清楚地确定何时发生网络入侵。此外,如果数据被窃取并发布在暗网上,暗网监测可以提供有用的入侵预警系统,而漏洞监测可以帮助阻止强大的攻击媒介。
最重要的是,组织需要找到一个超越典型的托管 SOC 商业关系的合作伙伴,更像是内部安全团队的延伸。他们应该提供全天候的保护、专门的客户服务以及持续的反馈和报告。这不仅能让客户放心,他们的运营是安全的,而且还能提供关键情报,可用于增强未来的网络弹性。
原标题:HowTo: Find the Right SOC Provider
作者:Rick Jones
链接:https://www.infosecurity-magazine.com/opinions/find-right-soc-provider/
