研究數(shù)據(jù)表明，安全運(yùn)營中心(SOC)可以顯著推動企業(yè)的網(wǎng)絡(luò)安全計劃，這使SOC成為有效企業(yè)網(wǎng)絡(luò)安全計劃的基石。從平均總控制時間來看，非常成功的網(wǎng)絡(luò)安全企業(yè)與不那么成功的網(wǎng)絡(luò)安全企業(yè)相比，部署SOC的可能性高52%。

實際上，僅部署SOC就可將企業(yè)控制數(shù)據(jù)泄露事故的平均時間縮短近一半。

[[352258]]

但是，在評估安全運(yùn)營中心的最佳做法方面，細(xì)節(jié)決定成?。壕W(wǎng)絡(luò)安全專家應(yīng)該外包SOC功能還是內(nèi)部開發(fā)?而且，如果他們選擇外包，選擇標(biāo)準(zhǔn)應(yīng)該是什么?

外包的答案很大程度上取決于企業(yè)的規(guī)模及其管理SOC的方法。Nemertes Research發(fā)現(xiàn)，對于擁有內(nèi)部管理的SOC的大型組織(擁有2500多名員工)，平均總控制時間得以改善50%，而那些將其SOC外包的公司發(fā)現(xiàn)，他們平均控制的總時間降低58%。對于規(guī)模較小的組織(少于2500名員工)，則遇到了完全相反的情況：使用外部管理的SOC的平均時間改進(jìn)50%，使用自己內(nèi)部的SOC的平均時間降低50%。

為什么較小型公司可從外包中受益

這個結(jié)果是合乎邏輯的。為確保全天候SOC，至少需要四到八名全職員工-每八小時輪班一名，再加上一名經(jīng)理和一名后備人員。對于很多中小企業(yè)來說，這是沉重的負(fù)擔(dān)。SOC分析人員必須經(jīng)過培訓(xùn)，他們需要職業(yè)發(fā)展道路。此外，SOC分析師的倦怠是一個現(xiàn)實的問題-較小的公司可能缺乏應(yīng)對資源。

盡管如此，決定外包只是第一步。Nemertes Research已定義企業(yè)在評估SOC提供商并確保安全運(yùn)營中心最佳實踐時，應(yīng)使用的五個關(guān)鍵選擇標(biāo)準(zhǔn)。

1. 運(yùn)營模式

SOC提供商是主要集中于事件通知，還是在團(tuán)隊擴(kuò)展模式下工作并主動采取措施來響應(yīng)事件?這里沒有正確的答案，但是這種響應(yīng)會影響企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊的結(jié)構(gòu)。如果SOC團(tuán)隊僅將事件通知企業(yè)，則其內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊需要培訓(xùn)、工具和流程，以評估事件并采取適當(dāng)行動，這通常描述在SOC運(yùn)行手冊中—由IT開發(fā)的一套已定義的程序用于維護(hù)日常工作。

2. SOC運(yùn)行手冊本身

無論由誰執(zhí)行(內(nèi)部團(tuán)隊還是SOC提供商)，運(yùn)行手冊如何開發(fā)? SOC提供商是否有標(biāo)準(zhǔn)化運(yùn)行手冊，可為每個客戶量身定制，還是客戶應(yīng)計劃進(jìn)行開發(fā)?

3. SOC提供商提供的服務(wù)組合

在第一、第二和第三級支持方面，提供商提供什么服務(wù)? SOC提供商是否提供主動或反應(yīng)式服務(wù)，例如威脅搜尋、滲透測試或紅色或紫色的團(tuán)隊練習(xí)?反應(yīng)式服務(wù)是SOC提供商的重點(diǎn)。主動服務(wù)可使客戶減少對其他提供商的依賴，或幫助顯著加強(qiáng)其安全態(tài)勢。

4. SOC提供商依賴的工具和技術(shù)集

工具通常會破壞交易，特別是在企業(yè)需求與SOC提供商提供的內(nèi)容不匹配的情況下。請務(wù)必提出以下問題： 提供商將使用客戶的工具，還是自己的工具? 誰擁有工具和軟件的許可?所有權(quán)和許可問題可能會增加SOC的成本和復(fù)雜性。 SOC提供商如何處理與客戶工具環(huán)境的集成?

5. 如何終止關(guān)系?

通常，由于終止關(guān)系的復(fù)雜性和成本，客戶被鎖定在供應(yīng)商。避免這種情況的最好方法是預(yù)先了解流程。

總結(jié)來看，較小型公司幾乎肯定應(yīng)該利用SOC服務(wù)。他們應(yīng)該對提供商進(jìn)行全面評估，重點(diǎn)是了解其運(yùn)營模型，包括運(yùn)行手冊的開發(fā);服務(wù)組合;工具和技術(shù);和終止程序。通過適當(dāng)注意這些安全運(yùn)營中心的最佳做法標(biāo)準(zhǔn)，較小的公司可以顯著改善其網(wǎng)絡(luò)安全運(yùn)營指標(biāo)。