研究數(shù)據(jù)表明，安全運(yùn)營(yíng)中心(SOC)可以顯著推動(dòng)企業(yè)的網(wǎng)絡(luò)安全計(jì)劃，這使SOC成為有效企業(yè)網(wǎng)絡(luò)安全計(jì)劃的基石。從平均總控制時(shí)間來(lái)看，非常成功的網(wǎng)絡(luò)安全企業(yè)與不那么成功的網(wǎng)絡(luò)安全企業(yè)相比，部署SOC的可能性高52%。

實(shí)際上，僅部署SOC就可將企業(yè)控制數(shù)據(jù)泄露事故的平均時(shí)間縮短近一半。

[[352258]]

但是，在評(píng)估安全運(yùn)營(yíng)中心的最佳做法方面，細(xì)節(jié)決定成?。壕W(wǎng)絡(luò)安全專家應(yīng)該外包SOC功能還是內(nèi)部開(kāi)發(fā)?而且，如果他們選擇外包，選擇標(biāo)準(zhǔn)應(yīng)該是什么?

外包的答案很大程度上取決于企業(yè)的規(guī)模及其管理SOC的方法。Nemertes Research發(fā)現(xiàn)，對(duì)于擁有內(nèi)部管理的SOC的大型組織(擁有2500多名員工)，平均總控制時(shí)間得以改善50%，而那些將其SOC外包的公司發(fā)現(xiàn)，他們平均控制的總時(shí)間降低58%。對(duì)于規(guī)模較小的組織(少于2500名員工)，則遇到了完全相反的情況：使用外部管理的SOC的平均時(shí)間改進(jìn)50%，使用自己內(nèi)部的SOC的平均時(shí)間降低50%。

為什么較小型公司可從外包中受益

這個(gè)結(jié)果是合乎邏輯的。為確保全天候SOC，至少需要四到八名全職員工-每八小時(shí)輪班一名，再加上一名經(jīng)理和一名后備人員。對(duì)于很多中小企業(yè)來(lái)說(shuō)，這是沉重的負(fù)擔(dān)。SOC分析人員必須經(jīng)過(guò)培訓(xùn)，他們需要職業(yè)發(fā)展道路。此外，SOC分析師的倦怠是一個(gè)現(xiàn)實(shí)的問(wèn)題-較小的公司可能缺乏應(yīng)對(duì)資源。

盡管如此，決定外包只是第一步。Nemertes Research已定義企業(yè)在評(píng)估SOC提供商并確保安全運(yùn)營(yíng)中心最佳實(shí)踐時(shí)，應(yīng)使用的五個(gè)關(guān)鍵選擇標(biāo)準(zhǔn)。

1. 運(yùn)營(yíng)模式

SOC提供商是主要集中于事件通知，還是在團(tuán)隊(duì)擴(kuò)展模式下工作并主動(dòng)采取措施來(lái)響應(yīng)事件?這里沒(méi)有正確的答案，但是這種響應(yīng)會(huì)影響企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)的結(jié)構(gòu)。如果SOC團(tuán)隊(duì)僅將事件通知企業(yè)，則其內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊(duì)需要培訓(xùn)、工具和流程，以評(píng)估事件并采取適當(dāng)行動(dòng)，這通常描述在SOC運(yùn)行手冊(cè)中—由IT開(kāi)發(fā)的一套已定義的程序用于維護(hù)日常工作。

2. SOC運(yùn)行手冊(cè)本身

無(wú)論由誰(shuí)執(zhí)行(內(nèi)部團(tuán)隊(duì)還是SOC提供商)，運(yùn)行手冊(cè)如何開(kāi)發(fā)? SOC提供商是否有標(biāo)準(zhǔn)化運(yùn)行手冊(cè)，可為每個(gè)客戶量身定制，還是客戶應(yīng)計(jì)劃進(jìn)行開(kāi)發(fā)?

3. SOC提供商提供的服務(wù)組合

在第一、第二和第三級(jí)支持方面，提供商提供什么服務(wù)? SOC提供商是否提供主動(dòng)或反應(yīng)式服務(wù)，例如威脅搜尋、滲透測(cè)試或紅色或紫色的團(tuán)隊(duì)練習(xí)?反應(yīng)式服務(wù)是SOC提供商的重點(diǎn)。主動(dòng)服務(wù)可使客戶減少對(duì)其他提供商的依賴，或幫助顯著加強(qiáng)其安全態(tài)勢(shì)。

4. SOC提供商依賴的工具和技術(shù)集

工具通常會(huì)破壞交易，特別是在企業(yè)需求與SOC提供商提供的內(nèi)容不匹配的情況下。請(qǐng)務(wù)必提出以下問(wèn)題： 提供商將使用客戶的工具，還是自己的工具? 誰(shuí)擁有工具和軟件的許可?所有權(quán)和許可問(wèn)題可能會(huì)增加SOC的成本和復(fù)雜性。 SOC提供商如何處理與客戶工具環(huán)境的集成?

5. 如何終止關(guān)系?

通常，由于終止關(guān)系的復(fù)雜性和成本，客戶被鎖定在供應(yīng)商。避免這種情況的最好方法是預(yù)先了解流程。

總結(jié)來(lái)看，較小型公司幾乎肯定應(yīng)該利用SOC服務(wù)。他們應(yīng)該對(duì)提供商進(jìn)行全面評(píng)估，重點(diǎn)是了解其運(yùn)營(yíng)模型，包括運(yùn)行手冊(cè)的開(kāi)發(fā);服務(wù)組合;工具和技術(shù);和終止程序。通過(guò)適當(dāng)注意這些安全運(yùn)營(yíng)中心的最佳做法標(biāo)準(zhǔn)，較小的公司可以顯著改善其網(wǎng)絡(luò)安全運(yùn)營(yíng)指標(biāo)。