4min. read

传统的安全操作中心 (SOC) 是在一种持续了几十年的模型基础上构建而成的,然而,它已经不再 有效。企业和威胁环境已经发生太多变化,“传统方法”已无法奏效。

现在正是做出改变以启用现代 SOC 的最佳时机,我们可以进行 SOC 整合来取得更好的成效,提 升修复速度、降低风险并获得更强大的安全态势。

那么,SOC 究竟发生了哪些变化?

在传统 SOC 中,IT 安全人员并肩而坐,近距离观看屏幕内容。这些屏幕加载了无数详细信息,提供来自数十种安 全工具的视图和数据,屏幕上会滚动显示警报,看似永无止境。这种传统的 SOC 模型总是试图在与警报和资源的 时间赛跑中跟上节奏,但它们从来没赢过。

疫情的发生,使传统 SOC 模型面临的多重挑战更加严峻。资源变得比以往任何时候都更加紧张,通常情况下,不 再可能让每个人都实际参与到 SOC 的工作中。与此同时,威胁形势呈爆炸式增长,重大网络事件以前所未有的速 度增加。

要应对这些新的现实情况,意味着现代 SOC 必须进行整合,做到事半功倍,同时还要针对当今和未来的现实和需 求优化实践。

导致传统 SOC 面临挑战的三个问题

在传统 SOC 中,我们发现了三个导致不良结果和削弱安全态势的主要问题。

警报过多

简而言之,传统 SOC 正试图管理大量难以处理的警报。巨大的工作量导致警报疲劳,这确实会拖慢企业的处理速 度。由于警报太多,那些潜在的重大问题可能会因隐藏在大量警报干扰下而被忽略。

针对警报过多的解决方案是提高保真度,这样一来,只有出现重要问题时才会生成警报。提高保真度意味着,需要 使用合适的流程和工具来优化 SOC 提取的日志和数据。

安全产品过多

对我们来说,一个屡见不鲜的关键挑战是,人们使用的安全产品太多。事实上,普通企业可能会部署数十种网络安 全产品。

我们遇到过这样的企业,它们的端点上可能有四五个不同的代理,甚至会使用多种类型的防火墙。这样绝对会造成 严重的混乱情况。不同的安全资产间无法相互通信,这会形成一种非常混乱的局面。管理所有工具所需的工作量给 已经不堪重负的运营人员增加了不必要的复杂性。

只有那些无视优先级和所用工具的 SOC 才能成功应对这种局面。SOC 需要阐释他们想要达成的目标,然后找到实 现此目标所需的平台和解决方案。拥有一个通用平台,以便所有工具都可以使用相同的语言并相互通信,这对于 SOC 的成功至关重要。

手动流程过多

许多传统 SOC 依赖手动流程来处理日常运营和事件。琐碎的任务太多,需要人工完成大量的交互和棘手的问题, 这可能会令人麻木。当事件真正发生时,传统 SOC 将制定一份手动操作剧本,以重温上次发生类似事件时 SOC 所 采取的步骤,然后一遍又一遍地手动重复这些步骤。

手动流程无法扩展,它们让 SOC 分析师感到精疲力尽,无法应对现代 SOC 的大量活动。手动流程无法有效实现快 速的平均检测时间和快速的响应时间。

我们需要使用智能机器学习和自动化功能处理大批量流程,从而释放人力资源,让他们能够专注于处理关键任务。

SOC 整合为数字化转型提供了绝佳时机

IT 行业正在朝着更加同质化的环境和更加整合的方向发展。过去,每个公司的本地环境在各个方面都大不相同。 而如今,大量使用通用 SaaS 和 IaaS 工具集的企业开始向云端迁移。随着企业逐渐迁移到云端,一些在本地使用 的传统产品不再适用。现在需要的是专注于云端的新一代安全产品,它们可以帮助我们提高效率。

鉴于企业正在向云端迁移并进行数字化转型,现在是时候进行重置了。眼下正是查看 SOC 中使用的安全产品和工 具,并确定它们各自的投资回报 (ROI) 的好时机,可以将这些安全投资整合到一组核心功能中,这些功能可在平台 中定义。