就安全運營中心 (SOC) 而言，我們的網(wǎng)絡(luò)安全工具僅可企及工具使用者和 SOC 同行的水平。SOC 的關(guān)鍵作用是什么？我們雇用這些人員時應(yīng)考察哪些資質(zhì)？此外，您對網(wǎng)絡(luò)安全職業(yè)有哪些期望？

根據(jù)個人在 IBM Security 的 Managed Security Services SOC 的一些經(jīng)驗，我提供了以下一些有關(guān)全球 SOC 如何按需進行人員配備和組織的見解。

SOC 中的關(guān)鍵角色

確保用人得當(dāng)對于現(xiàn)代 SOC 的成功來說至關(guān)重要。公司 SOC 中的主要角色取決于公司計劃的成熟度以及公司的規(guī)模和預(yù)算。

我在 IBM 工作時，所合作的客戶都有一兩位安全人員且這些人員在組織內(nèi)都有多個“頭銜”。我還和 SOC 老手一起工作，這些人都有自己的 24/7 全天候運營任務(wù)及固定的職責(zé)角色。

但是，我的大部分客戶都介于這二者之間。他們聘用全職員工擔(dān)任某些角色，并補充服務(wù)提供商以承擔(dān)其他角色，比如負責(zé)提供全天候“實時檢測”或作為“隨時待命”的事件響應(yīng)人員。

通常，角色以 SOC 的關(guān)鍵功能為中心：調(diào)查與分析、運營與維護、工程與架構(gòu)、保護與防御、威脅情報，以及監(jiān)督與治理。

調(diào)查與分析

這些角色響應(yīng)觸發(fā)器，比如警報或可疑事件。這些角色可以基于技術(shù)（比如主機），也可以基于網(wǎng)絡(luò)或分層的技能/范圍（比如“分層 1”、“分層 2”）。這些角色包括：

· 安全分析師

· 事件響應(yīng)人員

· 事件管理人員

運營和維護

這些角色是工具日常管理的關(guān)鍵。典型的職責(zé)包括管理設(shè)備運行狀況、故障排除、版本管理和策略管理。這些角色包括：

· 設(shè)備管理員（防火墻、入侵防范系統(tǒng)、終端代理等）

· 安全工程師

工程與架構(gòu)

架構(gòu)師和工程角色是推進和改進安全操作的關(guān)鍵。這些角色可以是關(guān)聯(lián)工程師，負責(zé)編寫新用例、收集和運行新日志。這些角色還可以是編寫定制工具的開發(fā)人員，或是幫助推薦和實施新工具的集成架構(gòu)師。這些角色包括：

· 開發(fā)人員

· 安全架構(gòu)師

· 安全工程師

保護與防御

這些角色在本質(zhì)上往往是主動的，有助于在威脅實施者趁機利用安全漏洞之前將其識別并改善安全狀況。這些角色包括：

· 威脅捕獲人員

· 漏洞管理人員

· 滲透測試人員

威脅情報

在某些情況下，威脅情報是唯一的 SOC 功能。在其他情況下，威脅情報會與其他角色結(jié)合在一起。Intel 分析師負責(zé)跟蹤威脅情況，包括可能以組織為目標的威脅實施者和活動。在大多數(shù)情況下，情報分析師與工程師和架構(gòu)師密切合作，以確保提前部署恰當(dāng)?shù)牡臋z測工具。

· 威脅情報分析師

· 威脅研究分析師

監(jiān)督與治理

這些角色可以包括管理職位，以幫助制定策略、管理安全預(yù)算和保持合規(guī)性。這些角色包括：

· 合規(guī)官

· 安全意識和培訓(xùn)專業(yè)人員

· SOC 經(jīng)理

· 首席信息安全官

SOC 角色的變化

隨著網(wǎng)絡(luò)安全行業(yè)的發(fā)展，SOC 內(nèi)部的必要角色也發(fā)生了變化。我們正處于過渡期，各地的 SOC 都在力求從被動的、警報驅(qū)動的方法過渡到主動的“智能”方法，即向“SOC 2.0”邁進。

警報疲勞也是 SOC 員工中真正的驅(qū)動力。它加劇了長期人員配備和人員保留的挑戰(zhàn)，也使人員短缺變得更嚴重。周而復(fù)始，SOC 在“雇用－培訓(xùn)－替換”的周期中不可自拔。隨著職業(yè)選擇的向上優(yōu)質(zhì)發(fā)展，SOC 要不斷地通過分析師來完成培訓(xùn)。這是一個不可持續(xù)的周期。

因此，越來越多的公司想要識別日常任務(wù)并實現(xiàn)自動化。SOAR（安全編排、自動化和響應(yīng)）平臺的熱度持續(xù)攀升，很多公司開始引入機器學(xué)習(xí)元素來進行初始警報分類。

盡管大部分先前 L1 分析師的工作已實現(xiàn)自動化，但其余警報仍舊需要深入的分析技能。這也會導(dǎo)致 SOC 內(nèi)部角色的專業(yè)化得到提升，繼而推動對更高價值技能的需求，為員工職業(yè)發(fā)展帶來新機遇，同時也促進 SOC 整體向更成熟的方向發(fā)展。

SOC 2.0 時代的招聘

作為招聘經(jīng)理，我一般更看重個性特征而非技能，因為技能是可以教授的。舉例來說，我會在聘用分析師時優(yōu)先選擇生性好奇而且有熱情、有進取心的人。這對于我來說比熟知特定工具或平臺更重要，因為這種特質(zhì)證明一個人會在無論所用工具如何的情況下，都擅于進行分析和調(diào)查。我喜歡修補匠和實驗者，尤其是那些已建立家庭實驗室來檢測和搗鼓惡意軟件的應(yīng)聘者會更受歡迎。

對于高層職位，我會挑選經(jīng)驗豐富且了解最佳實踐方法的人。舉例來說，要成為 Intel 分析師，就要先懂智能生命周期。通過研究行業(yè)框架（例如，MITRE ATT&CK），更好地了解對手的戰(zhàn)術(shù)、技巧和程序。要爭取獲得高技術(shù)認證，比如進攻性安全認證專家或 GIAC 認證的事件處理人員。

就更高層次而言，專業(yè)化是關(guān)鍵。我們還要能夠與其他利益相關(guān)者進行互動并有效地進行交流。一般來說，角色越高級，與客戶的互動就越頻繁。技術(shù)技能是必備的，但團隊成員還必須能夠以合理方式向客戶傳達復(fù)雜的安全信息，并使客戶能夠就如何使用有限的資源來最大程度確保安全來制定最佳決策。

現(xiàn)實案例：Maze 勒索軟件

最終，任何 SOC 的目標都是檢測、分析和響應(yīng)安全威脅。無論角色如何，SOC 的每個人都要始終牢記這一關(guān)鍵目標，為此我們必須營造高度協(xié)作化的環(huán)境。

對此，大家會在查看我們 SOC 處理的近期威脅時有深切體會。Maze 勒索軟件就是一例。在數(shù)次交鋒之后，我們的 X-Force 事件響應(yīng)團隊才逐漸了解 Maze 實施者是如何以泄露數(shù)據(jù)、刪除備份、加密文件并挾持泄露數(shù)據(jù)來進行勒索的流程。他們的團隊會在“恥辱之墻”上發(fā)布一些被盜的數(shù)據(jù)，來恐嚇受害者付款。

當(dāng)我們的事件響應(yīng)團隊發(fā)現(xiàn)更多此類活動時，我們的情報團隊會對威脅實施者有更深入的了解。在此基礎(chǔ)上，情報團隊會將發(fā)現(xiàn)的信息告知威脅捕獲人員，由其開始主動進行搜尋，繼而傳遞給關(guān)聯(lián)工程師，由其推出新檢測工具，繼而交予“實時檢測”監(jiān)視團隊處理。這是現(xiàn)實的網(wǎng)絡(luò)威脅循環(huán)。 

作者簡介

[[376992]]

Miranda Ritchie

IBM Security 全球服務(wù)交付執(zhí)行官 

Miranda Ritchie 是 IBM Security 的全球服務(wù)交付執(zhí)行官，負責(zé)管理全球分析團隊，通過集中優(yōu)質(zhì)人才來解決問題，為 IBM MSS 客戶提供高品質(zhì)的威脅防范和檢測服務(wù)。

* 現(xiàn)在即可訪問 IBM 安全專區(qū)，探索構(gòu)建更強大，更安全的 SOC 2.0 時代所需的技術(shù)。

歷史精彩文章推薦 >>>

 * 2021 SIEM 必看趨勢：如何選擇安全分析提供商

關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構(gòu)中的49家、15家最大的醫(yī)療機構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構(gòu)發(fā)布的12份不同的分析報告中，有12項技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。