多年來，安全運營中心 (SOC) 隨著威脅形勢的變化而不斷發(fā)展。它曾經(jīng)是政府和軍隊組織的專利，如今越來越多地被推薦給各種規(guī)模的企業(yè)，甚至包含中小企業(yè)。然而，建立一個專門的團隊和設施來全天候監(jiān)控威脅并不容易?？赡軙媾R技能和資金的短缺。這就是為何許多公司將這些責任交給受信任的第三方的原因。然而，決定外包只是第一步，接下來才是困難的部分——選擇合適的供應商。

事實上，并非所有托管 SOC 產(chǎn)品都一樣。尋找合適的合作伙伴是一場比許多人意識到的風險更高的游戲。一旦弄錯了，網(wǎng)絡風險和成本可能會迅速失控。

網(wǎng)絡攻擊不斷

投資 SOC 的主要驅動力是可預測的。近年來，網(wǎng)絡威脅的數(shù)量和復雜程度都在飆升。這在勒索軟件領域最為明顯，網(wǎng)絡犯罪的創(chuàng)新導致了“即服務”產(chǎn)品的使用，使廣泛的附屬組織擁有了攻擊能力。去年，勒索軟件被視為英國人民的最大在線威脅。

盡管在安全方面投入了大量資金(據(jù)估計，去年安全方面的投資激增了60%)，但黑客入侵仍在繼續(xù)造成重大的財務和聲譽損失。根據(jù)政府數(shù)據(jù)顯示，去年有五分之二(39%)的英國機構遭受過數(shù)據(jù)泄漏或網(wǎng)絡攻擊，其中中型企業(yè)和大型企業(yè)分別達到59%和72%。

由于暗網(wǎng)上流傳著大量被破壞的憑證（估計有 270 億個），威脅參與者可以直接訪問目標網(wǎng)絡而不會引發(fā)任何警報。如果不能直接訪問，他們可以利用去年發(fā)布的 2萬多個漏洞，或者許多前幾年仍未修補的漏洞。更有甚者，他們可以支付初始訪問代理費用來為他們出力。

并非一帆風順

這種復雜的威脅形勢意味著基于預防的安全性有其局限性。面對堅定的對手并肩負著要防御大型企業(yè)攻擊面的任務，沒有任何組織可以 100% 抵御攻擊。這將使更多的注意力放在檢測和響應上：在漏洞成為嚴重事件之前發(fā)現(xiàn)和解決漏洞。這就是安全運營 (SecOps) 和 SOC 的工作。

然而，也存在持續(xù)的挑戰(zhàn)。首先要找到足夠的人才來運營 SOC。整個行業(yè)的人才缺口達 270 萬?，而 SOC 分析師可以說是最難找的。由于警報過載帶來的壓力和倦怠，許多人計劃退出，但這對他們并沒有什么幫助。這通常歸結為糟糕的工具輸出數(shù)據(jù)和誤報，無法對信號進行優(yōu)先級排序。

這導致了另一個挑戰(zhàn)：技術投資的成本。組織必須找到合適的工具組合，以提供分析師所需的洞察力，但是在競爭激烈的市場中這并不容易做到。SIEM 可能很有用，但通常需要不斷調整才能有效，而許多 SOC 團隊沒有時間或資源來做到這一點。選擇在內(nèi)部執(zhí)行 SecOps 的組織的財務負擔正在增加。根據(jù)一項研究顯示，由于管理的復雜性，超過一半的組織的感知投資回報率正在下降。同一份報告稱，安全工程成本每年攀升至 300 萬美元，但只有 51% 的人認為這些努力是有效的。

外包 SOC 有何意義

因此，越來越多的公司決定將其 SOC 功能完全外包。這使他們能夠將技能問題轉移給專門的組織，該組織擁有更多資源來尋找最聰明和最優(yōu)秀的人才。它還消除了對設備和持續(xù)維護的昂貴前期投資的需要，并支持更高的運營敏捷性，比如如果組織決定需要新的檢測和響應能力。

據(jù)估計，托管 SOC 市場在未來五年內(nèi)將以近 11% 的速度增長，到 2027 年將達到 100 億美元。但在一個快速增長的市場中，雖然有越來越多的選擇，并非所有的都適合。重要的是要找到一個供應商，它不僅擁有支持客戶擴展的資源，而且擁有一套正確的多層工具來正確完成這項工作。

這些工具應包括檢測和響應工具，如 SIEM、EDR、日志管理、文件完整性監(jiān)控和威脅查找。這些工具的綜合力量甚至可以清除隱蔽的威脅。惡意行為者通常使用合法工具來隱藏在網(wǎng)絡中。通過了解這些行為，SecOps 團隊可以更清楚地確定何時發(fā)生網(wǎng)絡入侵。此外，如果數(shù)據(jù)被竊取并發(fā)布在暗網(wǎng)上，暗網(wǎng)監(jiān)測可以提供有用的入侵預警系統(tǒng)，而漏洞監(jiān)測可以幫助阻止強大的攻擊媒介。

最重要的是，組織需要找到一個超越典型的托管 SOC 商業(yè)關系的合作伙伴，更像是內(nèi)部安全團隊的延伸。他們應該提供全天候的保護、專門的客戶服務以及持續(xù)的反饋和報告。這不僅能讓客戶放心，他們的運營是安全的，而且還能提供關鍵情報，可用于增強未來的網(wǎng)絡彈性。

原標題：HowTo: Find the Right SOC Provider

作者：Rick Jones

鏈接：https://www.infosecurity-magazine.com/opinions/find-right-soc-provider/

 ?