安全運營中心的六大陷阱
安全運營中心(SOC)是企業安全防御體系的“免疫中樞”和大腦,建設現代化而高效的安全運營中心是每個CISO的夢想,但是這個夢想往往也充斥著陷阱。
1.工具陷阱
每個安全運營中心都希望采購最新最好(通常也是更貴)的工具來捕捉對手和威脅。但更多的時候,安全運營中心面臨的問題是工具過剩而不是工具缺失。
根據趨勢科技的報告,員工規模超過1萬人的大中型企業平均擁有大約46個監控工具,由于缺乏人才和工具集成,其中許多未被使用、未充分利用或被遺忘。該調查發現工具泛濫在事件檢測和響應中越來越普遍,這可能會導致高昂的相關成本。
2.工作量陷阱
SOC分析師的工作很多是重復性的,1級分析師比3級分析師的情況更加糟糕。根本問題是整個方法存在缺陷。典型的流程是(按此順序):安全威脅、事件數據、警報、驗證和事件響應。但這種方法導致了事件響應和安全威脅之間的脫節,這導致分析師疲勞。
3.人力資源陷阱
大多數網絡安全公司都在宣傳SOC是安全人才開啟網絡安全事業的好地方。很遺憾,事實可能并非如此。安全運營中心的工作淹沒在警報海洋中,警報疲勞折磨著每個人。但有一件事聽起來很酷,即便你是才上崗一個月的菜鳥,你也可以在安全事件發生的半夜直接給CISO打電話。
SOC的第一線和第二線的大量崗位通常都是只有幾年經驗的新手或中級員工,原因很簡單,SOC需要24x7運行,需要大量人手,招募經驗較少的員工可以控制成本。
4.KPI陷阱
每個經理無一例外都從商學院學到了同一個技能:用KPI來運行和優化部門。但遺憾的是,對于KPI模型來說,網絡安全太復雜了。大多數情況下,KPI都是基于時間的。例如,您需要在警報響起15分鐘后完成第一次分析(姑且不談人員的壓力因素)。
誰能在15分鐘內完成高質量的深入分析?但計時器不會理會這些,它會在警報生成的那一刻啟動。如果你正準備去衛生間,那么,恭喜你。如果上一個級別的員工無法在截止時間之前完成工作,則下一個級別將接管,結果嘛,趕工的代價就是犧牲分析質量,這并不利于安全。
5.機器學習陷阱
多年來,每個SIEM廠商都承諾他們的SIEM平臺可檢測任何安全威脅。然而,這是不可能的。而且,將云服務與本地數據中心相結合往往使情況變得更糟。
然后是被鼓吹得像萬靈藥的機器學習,往往都是商業炒作。機器學習/數據科學的模型需要數年時間來訓練和學習,而實施用戶行為分析只需要幾周時間。
6.成熟度陷阱
按照流行的SOC成熟度模型的說法,一個剛啟動運行的安全運營中心錯過一些安全事件是可以接受的。但這種觀點是錯誤的。安全運營中心需要從第一天起就達到最佳狀態。
專家們認為SOC需要經常根據CMMI模型評估和改進,但這種方法值得商榷,因為問題的重點往往不是威脅檢測,而是事件響應,而后者是成熟度模型的盲區,每個企業的業務和環境不同,事件響應的方法和流程也不同,這反過來決定了你的威脅檢測方法。
