安全作業中心 (SOC) 整合
事半功倍
傳統安全作業中心 (SOC) 基於持續數十年的模式,但已不再有效。企業內部發生太多轉變,「老舊思維」已不適用於現在的威脅形勢。
此時此刻正面臨啟用現代 SOC 的變革,採用 SOC 整合來達成更好的成果、更快的補救速度、更 低的風險,以及整體更強健的安全狀況。
那麼,實際上 SOC 有什麼變化?
傳統 SOC 中,IT 安全人員肩並肩緊鄰而坐,然後緊盯螢幕。螢幕上顯示無數的詳細資料、提供來自許多安全工具 的檢視與數據,並且附帶著似乎永遠捲動不完的大量警示。這種傳統 SOC 模型總是嘗試與警示和資源限制賽跑,但永遠不可能獲勝。
而疫情激化了傳統 SOC 模型中的各種挑戰。資源比起過去變得更加吃緊,而且經常無法讓全員出席 SOC。與此同 時,威脅形勢正在快速擴張,重大網路事件正以前所未有的速度持續增加。
因應這些新的事實代表現代 SOC 必須進行整合以實現事半功倍的成果,並最佳化其針對目前與未來情況和需求的 做法。
對於傳統 SOC 形成挑戰的三個問題
在傳統 SOC 中,我們看到三個主要問題導致成果不太理想,並且削弱安全狀況。
警示過多
簡單來說,傳統 SOC 試圖管理無力管理的大量警示。龐大數量造成警示麻痺,並且降低企業的效率。由於警示數 量太多,也可能輕易遺漏埋藏在眾多雜訊中的潛在重大問題。
對於警示太多挑戰的解決方案是改善真實性,以僅針對重要的問題產生警示。改善真實性也就是採用正確的流程與 工具,以最佳化 SOC 擷取的記錄與數據。
安全產品過多
我們多次觀察到的關鍵挑戰是 SOC 使用大量的安全產品。事實上,一般公司所部署的網路安全產品可能高達幾 十種。
我們遇到的企業可能在端點上有四或五種不同的代理程式,並且可能有多種類型的防火牆。如此造成的混亂可想而 知。不同的安全資產無法彼此交換情報,導致極端的混亂。管理所有工具所需的流程對於早已負擔過重的作業徒增 不必要的複雜度。
成功的 SOC 要不受情感左右地安排優先順序以及所使用的工具。SOC 需要定義想要達成的結果,然後找出達成期 望結果所需的平台與解決方案。提供一個通用平台,讓所有工具以相同語言彼此通訊,這便是 SOC 成功的關鍵。
手動程序過多
許多傳統 SOC 依賴手動程序來處理日常作業和事件。太多繁瑣的工作需要大量的人員互動,且整個流程可能相當 乏味。發生事件時,傳統 SOC 將打開手動程序的教戰守則,回顧上次類似事件發生時 SOC 所採取的步驟,然後手 動一再重新執行那些步驟。
手動程序無法調整,這會讓 SOC 分析人員疲於奔命,而且無法跟上現代 SOC 中大量活動的腳步。採用手動程序無 法有效地縮短平均偵測時間以及回應時間。
大量程序需要的是智慧型機器學習與自動化,讓人力資源得以專注於重要工作。
SOC 整合是數位轉型的機會
IT 如同產業,正在朝向同質性較高且高度整合的環境邁進。在過去,每家公司的內部部署環境大相逕庭。
現在的企業使用 SaaS 與 IaaS 的通用工具集,朝向雲端大步邁進。隨著公司改用雲端,部分用於內部部署的傳統 產品已不再適用。需要的是專注於雲端的新世代安全產品,以協助顯著提升效率。
現在正是重新佈局的時候,因為公司改用雲端,並且已踏上著手數位轉型的旅程。是時候審視 SOC 中使用的安全 產品與工具,並且判斷各自的投資報酬率 (ROI),然後整合那些安全投資,讓其成為您可以在平台中定義的一組核 心功能。
SOC 整合可協助防禦與保護
擴增是任何企業內的主要安全障礙。2021 年 12 月底,Log4j安全事件擊垮了 SOC。許多不同位置的應用程式庫 中發現安全缺陷。在執行 75 至 80 種不同工具的傳統 SOC 中,識別、補救和保護所有容易遭到攻擊的資產並不 容易。
透過 SOC 整合消除擴增的方法是採用具有顯著影響的平台方法。對抗 Log4j 等問題的保護措施可能是整合的活 動,而非一組各自獨立的手動程序。
SOC 整合支援安全團隊
更重要的可能是 SOC 整合對於企業人員也同樣具有相當的正面意義。傳統 SOC 通常被視為進入網路安全領域的 墊腳石,而非長久經營的職業。原因在於 SOC 中的個人疲於處理事件並承受巨大壓力,而且必須手動處理各種事 務,甚至通常是混亂模式。
當 SOC 只不過是進入安全領域任職的過渡手段時,那便是一個糟糕的模式。這代表您並未讓人員專注於建立具有 顯著效果的 SOC。相反地,您讓 SOC 中的人員「放牛吃草」,然後調動至其他更有前途的職位。
隨著您整合 SOC,整個 SOC 的運作方式及其內部員工的工作方式將會改變。因此,SOC 人員不會重複做一些相同 而乏味的工作,他們現在專注於具有更高價值的專案以及創新。他們持續改善技術,並且在威脅捕捉方面變得更有 效率。所有這些變化帶來的結果是他們變得更開心,因為可以專注於產生有意義影響且達成其願景的專案。在心理 層面也不再是糟糕的「無限迴圈」。心滿意足且獲得成就感的員工任職期間更長,並且努力工作讓系統變得更好。
沒有任何企業有多餘的時間或資源可以浪費在毫無止境地檢查警示,以及跨各種獨立工具而無法搭配運作的手動程 序。SOC 整合的時機,目的在於建立能夠處理現下複雜威脅的現代 SOC。
整合。簡化。協調。自動化。