就安全運(yùn)營(yíng)中心 (SOC) 而言，我們的網(wǎng)絡(luò)安全工具僅可企及工具使用者和 SOC 同行的水平。SOC 的關(guān)鍵作用是什么？我們雇用這些人員時(shí)應(yīng)考察哪些資質(zhì)？此外，您對(duì)網(wǎng)絡(luò)安全職業(yè)有哪些期望？

根據(jù)個(gè)人在 IBM Security 的 Managed Security Services SOC 的一些經(jīng)驗(yàn)，我提供了以下一些有關(guān)全球 SOC 如何按需進(jìn)行人員配備和組織的見解。

SOC 中的關(guān)鍵角色

確保用人得當(dāng)對(duì)于現(xiàn)代 SOC 的成功來(lái)說(shuō)至關(guān)重要。公司 SOC 中的主要角色取決于公司計(jì)劃的成熟度以及公司的規(guī)模和預(yù)算。

我在 IBM 工作時(shí)，所合作的客戶都有一兩位安全人員且這些人員在組織內(nèi)都有多個(gè)“頭銜”。我還和 SOC 老手一起工作，這些人都有自己的 24/7 全天候運(yùn)營(yíng)任務(wù)及固定的職責(zé)角色。

但是，我的大部分客戶都介于這二者之間。他們聘用全職員工擔(dān)任某些角色，并補(bǔ)充服務(wù)提供商以承擔(dān)其他角色，比如負(fù)責(zé)提供全天候“實(shí)時(shí)檢測(cè)”或作為“隨時(shí)待命”的事件響應(yīng)人員。

通常，角色以 SOC 的關(guān)鍵功能為中心：調(diào)查與分析、運(yùn)營(yíng)與維護(hù)、工程與架構(gòu)、保護(hù)與防御、威脅情報(bào)，以及監(jiān)督與治理。

調(diào)查與分析

這些角色響應(yīng)觸發(fā)器，比如警報(bào)或可疑事件。這些角色可以基于技術(shù)（比如主機(jī)），也可以基于網(wǎng)絡(luò)或分層的技能/范圍（比如“分層 1”、“分層 2”）。這些角色包括：

· 安全分析師

· 事件響應(yīng)人員

· 事件管理人員

運(yùn)營(yíng)和維護(hù)

這些角色是工具日常管理的關(guān)鍵。典型的職責(zé)包括管理設(shè)備運(yùn)行狀況、故障排除、版本管理和策略管理。這些角色包括：

· 設(shè)備管理員（防火墻、入侵防范系統(tǒng)、終端代理等）

· 安全工程師

工程與架構(gòu)

架構(gòu)師和工程角色是推進(jìn)和改進(jìn)安全操作的關(guān)鍵。這些角色可以是關(guān)聯(lián)工程師，負(fù)責(zé)編寫新用例、收集和運(yùn)行新日志。這些角色還可以是編寫定制工具的開發(fā)人員，或是幫助推薦和實(shí)施新工具的集成架構(gòu)師。這些角色包括：

· 開發(fā)人員

· 安全架構(gòu)師

· 安全工程師

保護(hù)與防御

這些角色在本質(zhì)上往往是主動(dòng)的，有助于在威脅實(shí)施者趁機(jī)利用安全漏洞之前將其識(shí)別并改善安全狀況。這些角色包括：

· 威脅捕獲人員

· 漏洞管理人員

· 滲透測(cè)試人員

威脅情報(bào)

在某些情況下，威脅情報(bào)是唯一的 SOC 功能。在其他情況下，威脅情報(bào)會(huì)與其他角色結(jié)合在一起。Intel 分析師負(fù)責(zé)跟蹤威脅情況，包括可能以組織為目標(biāo)的威脅實(shí)施者和活動(dòng)。在大多數(shù)情況下，情報(bào)分析師與工程師和架構(gòu)師密切合作，以確保提前部署恰當(dāng)?shù)牡臋z測(cè)工具。

· 威脅情報(bào)分析師

· 威脅研究分析師

監(jiān)督與治理

這些角色可以包括管理職位，以幫助制定策略、管理安全預(yù)算和保持合規(guī)性。這些角色包括：

· 合規(guī)官

· 安全意識(shí)和培訓(xùn)專業(yè)人員

· SOC 經(jīng)理

· 首席信息安全官

SOC 角色的變化

隨著網(wǎng)絡(luò)安全行業(yè)的發(fā)展，SOC 內(nèi)部的必要角色也發(fā)生了變化。我們正處于過(guò)渡期，各地的 SOC 都在力求從被動(dòng)的、警報(bào)驅(qū)動(dòng)的方法過(guò)渡到主動(dòng)的“智能”方法，即向“SOC 2.0”邁進(jìn)。

警報(bào)疲勞也是 SOC 員工中真正的驅(qū)動(dòng)力。它加劇了長(zhǎng)期人員配備和人員保留的挑戰(zhàn)，也使人員短缺變得更嚴(yán)重。周而復(fù)始，SOC 在“雇用－培訓(xùn)－替換”的周期中不可自拔。隨著職業(yè)選擇的向上優(yōu)質(zhì)發(fā)展，SOC 要不斷地通過(guò)分析師來(lái)完成培訓(xùn)。這是一個(gè)不可持續(xù)的周期。

因此，越來(lái)越多的公司想要識(shí)別日常任務(wù)并實(shí)現(xiàn)自動(dòng)化。SOAR（安全編排、自動(dòng)化和響應(yīng)）平臺(tái)的熱度持續(xù)攀升，很多公司開始引入機(jī)器學(xué)習(xí)元素來(lái)進(jìn)行初始警報(bào)分類。

盡管大部分先前 L1 分析師的工作已實(shí)現(xiàn)自動(dòng)化，但其余警報(bào)仍舊需要深入的分析技能。這也會(huì)導(dǎo)致 SOC 內(nèi)部角色的專業(yè)化得到提升，繼而推動(dòng)對(duì)更高價(jià)值技能的需求，為員工職業(yè)發(fā)展帶來(lái)新機(jī)遇，同時(shí)也促進(jìn) SOC 整體向更成熟的方向發(fā)展。

SOC 2.0 時(shí)代的招聘

作為招聘經(jīng)理，我一般更看重個(gè)性特征而非技能，因?yàn)榧寄苁强梢越淌诘?。舉例來(lái)說(shuō)，我會(huì)在聘用分析師時(shí)優(yōu)先選擇生性好奇而且有熱情、有進(jìn)取心的人。這對(duì)于我來(lái)說(shuō)比熟知特定工具或平臺(tái)更重要，因?yàn)檫@種特質(zhì)證明一個(gè)人會(huì)在無(wú)論所用工具如何的情況下，都擅于進(jìn)行分析和調(diào)查。我喜歡修補(bǔ)匠和實(shí)驗(yàn)者，尤其是那些已建立家庭實(shí)驗(yàn)室來(lái)檢測(cè)和搗鼓惡意軟件的應(yīng)聘者會(huì)更受歡迎。

對(duì)于高層職位，我會(huì)挑選經(jīng)驗(yàn)豐富且了解最佳實(shí)踐方法的人。舉例來(lái)說(shuō)，要成為 Intel 分析師，就要先懂智能生命周期。通過(guò)研究行業(yè)框架（例如，MITRE ATT&CK），更好地了解對(duì)手的戰(zhàn)術(shù)、技巧和程序。要爭(zhēng)取獲得高技術(shù)認(rèn)證，比如進(jìn)攻性安全認(rèn)證專家或 GIAC 認(rèn)證的事件處理人員。

就更高層次而言，專業(yè)化是關(guān)鍵。我們還要能夠與其他利益相關(guān)者進(jìn)行互動(dòng)并有效地進(jìn)行交流。一般來(lái)說(shuō)，角色越高級(jí)，與客戶的互動(dòng)就越頻繁。技術(shù)技能是必備的，但團(tuán)隊(duì)成員還必須能夠以合理方式向客戶傳達(dá)復(fù)雜的安全信息，并使客戶能夠就如何使用有限的資源來(lái)最大程度確保安全來(lái)制定最佳決策。

現(xiàn)實(shí)案例：Maze 勒索軟件

最終，任何 SOC 的目標(biāo)都是檢測(cè)、分析和響應(yīng)安全威脅。無(wú)論角色如何，SOC 的每個(gè)人都要始終牢記這一關(guān)鍵目標(biāo)，為此我們必須營(yíng)造高度協(xié)作化的環(huán)境。

對(duì)此，大家會(huì)在查看我們 SOC 處理的近期威脅時(shí)有深切體會(huì)。Maze 勒索軟件就是一例。在數(shù)次交鋒之后，我們的 X-Force 事件響應(yīng)團(tuán)隊(duì)才逐漸了解 Maze 實(shí)施者是如何以泄露數(shù)據(jù)、刪除備份、加密文件并挾持泄露數(shù)據(jù)來(lái)進(jìn)行勒索的流程。他們的團(tuán)隊(duì)會(huì)在“恥辱之墻”上發(fā)布一些被盜的數(shù)據(jù)，來(lái)恐嚇受害者付款。

當(dāng)我們的事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)更多此類活動(dòng)時(shí)，我們的情報(bào)團(tuán)隊(duì)會(huì)對(duì)威脅實(shí)施者有更深入的了解。在此基礎(chǔ)上，情報(bào)團(tuán)隊(duì)會(huì)將發(fā)現(xiàn)的信息告知威脅捕獲人員，由其開始主動(dòng)進(jìn)行搜尋，繼而傳遞給關(guān)聯(lián)工程師，由其推出新檢測(cè)工具，繼而交予“實(shí)時(shí)檢測(cè)”監(jiān)視團(tuán)隊(duì)處理。這是現(xiàn)實(shí)的網(wǎng)絡(luò)威脅循環(huán)。 

作者簡(jiǎn)介

[[376992]]

Miranda Ritchie

IBM Security 全球服務(wù)交付執(zhí)行官 

Miranda Ritchie 是 IBM Security 的全球服務(wù)交付執(zhí)行官，負(fù)責(zé)管理全球分析團(tuán)隊(duì)，通過(guò)集中優(yōu)質(zhì)人才來(lái)解決問(wèn)題，為 IBM MSS 客戶提供高品質(zhì)的威脅防范和檢測(cè)服務(wù)。

* 現(xiàn)在即可訪問(wèn) IBM 安全專區(qū)，探索構(gòu)建更強(qiáng)大，更安全的 SOC 2.0 時(shí)代所需的技術(shù)。

歷史精彩文章推薦 >>>

 * 2021 SIEM 必看趨勢(shì)：如何選擇安全分析提供商

關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百?gòu)?qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。