Gartner：中國安全運營最佳實踐

中國的安全和風險管理（SRM）領導者常常感到他們的安全運營方法不再發揮效果。這是因為多數安全運營中心（SOC）是根據以往的IT環境和威脅環境設計的，因此無法有效地檢測和應對當前以及未來的攻擊。

中國獨特的監管要求和安全市場，為安全運營設定了具體的限制。中國的SRM領導者要取得成功，不能簡單地照搬國外安全實踐，而要綜合考慮本土情況。在中國，業務部門和云服務提供商在安全運營中也發揮著關鍵作用。因此，安全運營需要轉變為更加互聯和靈活的運營模式，而非無休止地擴展SOC的規模和范圍。

構建并平衡企業的SOC模式

中國政府針對安全運營發布了一系列的法律、方針和標準，SOC可幫助企業機構檢測并防御來自內外部的威脅。在規劃建立SOC或優化現有SOC時，中國的SRM領導者應考慮需求和業務價值、技術采用范圍和SOC模式，以確定SOC的目標。

24/7全天候的內部SOC團隊通常需要至少12人，分別負責監控和檢測、事件響應和追蹤、威脅情報和檢測，以及自動化工程（SOC職責實例見圖1）。一些企業機構對安全運營有很大需求，但由于安全專業人員短缺、預算緊張、以及24/7全天候安全運營的高昂成本等原因，無法負擔完整的內部SOC團隊。另一些企業機構雖然意識到自身安全運營不成熟，但由于數據的敏感性或監管限制，無法將功能全部外包。

圖1 安全運營中心職責示例

混合SOC是解決上述問題的良策，可通過結合內外部資源來提供完整的SOC功能。

與業務和CPO合作，確保安全運營適應互聯互通的IT新環境

數字化時代下的中?化安全管理與去中?化決策

數字化和云擴大了內外部網絡資產的邊界和攻擊面，安全運營的范圍和復雜性也隨之擴大和提高。傳統SOC，無論內部、外包或混合式，都不應局限于單純的IT相關職責，而應涵蓋所有用于支持數字化及云端部署的網絡資產。高效的SOC應整合安全資源和能力，同時對職責進行劃分，推動業務部門的決策。這就需要制定復雜的團隊合作，對角色和責任進行細致的理解和界定（見圖2）。

圖2 數字時代安全運營的互聯方法

云安全運營模型

在進行云遷移時，SRM領導者應充分了解安全運營職責，并與云提供商明確職責劃分。在內部責任方面，SRM領導者應根據企業機構面臨的云計算的獨特挑戰，選擇一種安全運營方法，以應對這些挑戰。SRM領導者需要確定，云安全運營是要嵌入到常規云運營中，還是嵌入常規安全團隊中，或自成一個獨立的職能團隊。

利用云原生工具和攻擊面管理來發展SOC能力

云原生安全工具的集成

安全運營須緊跟變革的步伐，利用軟件即服務（SaaS）和云基礎設施和平臺服務，適應云轉型帶來的擴張和增長。多數云安全問題是由分散在云中各種服務和技術的錯誤配置造成的。由于云資源具有彈性、使用期短和可編程的特點，因此云安全運營需高度依賴腳本和自動化。

SRM領導者的優先事項之一就是要選擇云安全功能，解決云部署中的可見性、錯誤配置和特權活動問題。

成熟的SOC需要利用攻擊面管理發現問題并確定問題的優先級

對于大多數企業機構來說，中國的數字化轉型使其網絡資產的數量和復雜性陡增。在中國每年進行的國家級攻防演練中，我們注意到，識別和分類資產以及去除不必要的資產以減少攻擊面是重中之重。安全團隊可利?新興的攻擊?管理技術，從內部管理的?度和外部攻擊者的?度，克服資產可?性和漏洞管理等?期問題。

在真實場景中測試并強化SOC的有效性

下面表格展示了測試SOC有效性的三種典型方法，旨在發現差距并為擴展提供依據。

這三種測試方法各有長處。SRM領導者應選擇適合自身情況和需求的測試方法。自2016年以來，中國的企業機構對于攻防演練越來越重視，并希望將其納入日常安全運營中。

文章轉自公眾號：計算機與網絡安全