多年來(lái)，安全運(yùn)營(yíng)中心 (SOC) 隨著威脅形勢(shì)的變化而不斷發(fā)展。它曾經(jīng)是政府和軍隊(duì)組織的專(zhuān)利，如今越來(lái)越多地被推薦給各種規(guī)模的企業(yè)，甚至包含中小企業(yè)。然而，建立一個(gè)專(zhuān)門(mén)的團(tuán)隊(duì)和設(shè)施來(lái)全天候監(jiān)控威脅并不容易?？赡軙?huì)面臨技能和資金的短缺。這就是為何許多公司將這些責(zé)任交給受信任的第三方的原因。然而，決定外包只是第一步，接下來(lái)才是困難的部分——選擇合適的供應(yīng)商。

事實(shí)上，并非所有托管 SOC 產(chǎn)品都一樣。尋找合適的合作伙伴是一場(chǎng)比許多人意識(shí)到的風(fēng)險(xiǎn)更高的游戲。一旦弄錯(cuò)了，網(wǎng)絡(luò)風(fēng)險(xiǎn)和成本可能會(huì)迅速失控。

網(wǎng)絡(luò)攻擊不斷

投資 SOC 的主要驅(qū)動(dòng)力是可預(yù)測(cè)的。近年來(lái)，網(wǎng)絡(luò)威脅的數(shù)量和復(fù)雜程度都在飆升。這在勒索軟件領(lǐng)域最為明顯，網(wǎng)絡(luò)犯罪的創(chuàng)新導(dǎo)致了“即服務(wù)”產(chǎn)品的使用，使廣泛的附屬組織擁有了攻擊能力。去年，勒索軟件被視為英國(guó)人民的最大在線威脅。

盡管在安全方面投入了大量資金(據(jù)估計(jì)，去年安全方面的投資激增了60%)，但黑客入侵仍在繼續(xù)造成重大的財(cái)務(wù)和聲譽(yù)損失。根據(jù)政府?dāng)?shù)據(jù)顯示，去年有五分之二(39%)的英國(guó)機(jī)構(gòu)遭受過(guò)數(shù)據(jù)泄漏或網(wǎng)絡(luò)攻擊，其中中型企業(yè)和大型企業(yè)分別達(dá)到59%和72%。

由于暗網(wǎng)上流傳著大量被破壞的憑證（估計(jì)有 270 億個(gè)），威脅參與者可以直接訪問(wèn)目標(biāo)網(wǎng)絡(luò)而不會(huì)引發(fā)任何警報(bào)。如果不能直接訪問(wèn)，他們可以利用去年發(fā)布的 2萬(wàn)多個(gè)漏洞，或者許多前幾年仍未修補(bǔ)的漏洞。更有甚者，他們可以支付初始訪問(wèn)代理費(fèi)用來(lái)為他們出力。

并非一帆風(fēng)順

這種復(fù)雜的威脅形勢(shì)意味著基于預(yù)防的安全性有其局限性。面對(duì)堅(jiān)定的對(duì)手并肩負(fù)著要防御大型企業(yè)攻擊面的任務(wù)，沒(méi)有任何組織可以 100% 抵御攻擊。這將使更多的注意力放在檢測(cè)和響應(yīng)上：在漏洞成為嚴(yán)重事件之前發(fā)現(xiàn)和解決漏洞。這就是安全運(yùn)營(yíng) (SecOps) 和 SOC 的工作。

然而，也存在持續(xù)的挑戰(zhàn)。首先要找到足夠的人才來(lái)運(yùn)營(yíng) SOC。整個(gè)行業(yè)的人才缺口達(dá) 270 萬(wàn)?，而 SOC 分析師可以說(shuō)是最難找的。由于警報(bào)過(guò)載帶來(lái)的壓力和倦怠，許多人計(jì)劃退出，但這對(duì)他們并沒(méi)有什么幫助。這通常歸結(jié)為糟糕的工具輸出數(shù)據(jù)和誤報(bào)，無(wú)法對(duì)信號(hào)進(jìn)行優(yōu)先級(jí)排序。

這導(dǎo)致了另一個(gè)挑戰(zhàn)：技術(shù)投資的成本。組織必須找到合適的工具組合，以提供分析師所需的洞察力，但是在競(jìng)爭(zhēng)激烈的市場(chǎng)中這并不容易做到。SIEM 可能很有用，但通常需要不斷調(diào)整才能有效，而許多 SOC 團(tuán)隊(duì)沒(méi)有時(shí)間或資源來(lái)做到這一點(diǎn)。選擇在內(nèi)部執(zhí)行 SecOps 的組織的財(cái)務(wù)負(fù)擔(dān)正在增加。根據(jù)一項(xiàng)研究顯示，由于管理的復(fù)雜性，超過(guò)一半的組織的感知投資回報(bào)率正在下降。同一份報(bào)告稱(chēng)，安全工程成本每年攀升至 300 萬(wàn)美元，但只有 51% 的人認(rèn)為這些努力是有效的。

外包 SOC 有何意義

因此，越來(lái)越多的公司決定將其 SOC 功能完全外包。這使他們能夠?qū)⒓寄軉?wèn)題轉(zhuǎn)移給專(zhuān)門(mén)的組織，該組織擁有更多資源來(lái)尋找最聰明和最優(yōu)秀的人才。它還消除了對(duì)設(shè)備和持續(xù)維護(hù)的昂貴前期投資的需要，并支持更高的運(yùn)營(yíng)敏捷性，比如如果組織決定需要新的檢測(cè)和響應(yīng)能力。

據(jù)估計(jì)，托管 SOC 市場(chǎng)在未來(lái)五年內(nèi)將以近 11% 的速度增長(zhǎng)，到 2027 年將達(dá)到 100 億美元。但在一個(gè)快速增長(zhǎng)的市場(chǎng)中，雖然有越來(lái)越多的選擇，并非所有的都適合。重要的是要找到一個(gè)供應(yīng)商，它不僅擁有支持客戶(hù)擴(kuò)展的資源，而且擁有一套正確的多層工具來(lái)正確完成這項(xiàng)工作。

這些工具應(yīng)包括檢測(cè)和響應(yīng)工具，如 SIEM、EDR、日志管理、文件完整性監(jiān)控和威脅查找。這些工具的綜合力量甚至可以清除隱蔽的威脅。惡意行為者通常使用合法工具來(lái)隱藏在網(wǎng)絡(luò)中。通過(guò)了解這些行為，SecOps 團(tuán)隊(duì)可以更清楚地確定何時(shí)發(fā)生網(wǎng)絡(luò)入侵。此外，如果數(shù)據(jù)被竊取并發(fā)布在暗網(wǎng)上，暗網(wǎng)監(jiān)測(cè)可以提供有用的入侵預(yù)警系統(tǒng)，而漏洞監(jiān)測(cè)可以幫助阻止強(qiáng)大的攻擊媒介。

最重要的是，組織需要找到一個(gè)超越典型的托管 SOC 商業(yè)關(guān)系的合作伙伴，更像是內(nèi)部安全團(tuán)隊(duì)的延伸。他們應(yīng)該提供全天候的保護(hù)、專(zhuān)門(mén)的客戶(hù)服務(wù)以及持續(xù)的反饋和報(bào)告。這不僅能讓客戶(hù)放心，他們的運(yùn)營(yíng)是安全的，而且還能提供關(guān)鍵情報(bào)，可用于增強(qiáng)未來(lái)的網(wǎng)絡(luò)彈性。

原標(biāo)題：HowTo: Find the Right SOC Provider

作者：Rick Jones

鏈接：https://www.infosecurity-magazine.com/opinions/find-right-soc-provider/

 ?