安全运营中心(SOC)由一个专门负责处理信息安全以保护业务的人员组成。虽然不是每家公司都有SOC(也没有建立SOC的资源),但它们往往存在于中大型组织和处理财务交易的公司中。
我曾担任过系统管理员和为小型组织工作的网络安全分析师的双重角色,但我没有机会在SOC工作。在处理安全行动时,我面临的许多挑战之一是处理我收到的大量警报,并从真正的威胁中找出假阳性。
我和AI网络安全公司Balbix的CEO兼创始人GauravBanga聊天,让他了解SOC的工作以及网络安全是如何变化的。
斯科特·马特森:SOC的主要目标是什么?
高拉夫·班加:SOC负责保护一个组织免受24/7的威胁。当SOC被告知一个漏洞或正在进行的事件时,它必须尽快采取行动,以尽量减少或抵消所造成的损害,同时保持业务关键操作的正常运行时间。
斯科特·马特森:典型的SOC面临哪些挑战?
Gaurav Banga:一些SOC每天可能收到超过100万条警报,大多数SOC分析师每天只能管理20到25条警报。更糟糕的是,到2022年,尚未填补的网络安全工作岗位预计将达到180万个,比2015年增加20%。因此,传统的SOC没有有效处理来自其安全信息和事件管理(S IE M)日志的所有安全警报所需的资源和工具。
斯科特·马特森:为什么各组织都在为其安全控制所产生的大量警报而挣扎?
Gaurav Banga:传统的SOC与他们的SIEM日志产生的每日警报量作斗争。尝试这些警报需要花费大量的精力,而且本质上是一种反应性的练习,因为攻击可能已经破坏了一些企业系统。我们在这些警报中也有很多假阳性,这进一步加剧了局势。由于组织通常在修补其系统和修复其他漏洞方面落后,这使得网络犯罪分子有机会寻找公司网络中的几个安全漏洞中的任何一个,并获得未经授权的访问。
斯科特·马特森:组织如何解决这个问题?
Gaurav Banga:SOCs需要智能和自我学习,以便制定一种积极主动的安全方法。要做到这一点,SOC必须采用现代工具,使用专门的AI算法,才能自动发现所有IT资产和用户,监测所有这些资产和用户在数百个攻击向量中的风险。这类工具可以帮助找到需要根据风险进行补救的威胁并确定其背景和优先次序。
看:哪些企业需要了解《加州消费者隐私法》(Tech Republic Premium)
斯科特·马特森:GDPR和CCPA的颁布对SOCs有何影响?
加乌拉夫·班加:GDPR和CCPA的颁布应该刺激SOC采取积极的网络防御方法,如果他们还没有的话。遭受数据破坏的后果应该说明问题。企业将因未能遵守GDP R而受到全球年营业额的4%或2000万欧元的处罚。《刑事诉讼法》的执行要么通过对违反数据的行为采取行动的私人权利,其余的行为将由加州总检察长执行,每次最多为2500美元。
斯科特·马特森:有效的SOC使用了哪些安全工具或平台?
Gaurav Banga:有效的SOCs使用自动化安全工具和人工智能平台,能够发现所有资产和用户,持续监测数百个攻击向量,在设备、应用程序和用户库存以及攻击表面保持实时可见性,并提供持续和全面的风险评估。这将使SOCs能够根据业务风险补救漏洞,概念化采取积极主动的威胁,减轻行动,并提高CIOS和CISO报告对董事会的总体相关性。
斯科特·马特森:未来的SOC需要纳入什么才能跟上不断变化的安全威胁?
高拉夫班加:未来的SOC将预测和积极主动。它需要有自动化的自学工具,以持续衡量和管理企业网络的总体网络安全态势,然后对手才能发动攻击。这些SOCs将全面和实时地了解其库存、漏洞、暴露、相关威胁、任何积极的补偿控制以及不同资产的相对业务关键性。
斯科特·马特森:哪些职业要素对SOC工作人员有用?
Gaurav Banga:找到合适的员工,有合适的培训和经验,可能是一个挑战。
最好的SOC分析师像他们的对手一样思考,并训练使用归纳和演绎推理以及良好的技术和业务知识相结合的方法来对抗威胁和攻击。
大多数SOC被组织成两个操作组。第一个是操作团队,他们不断监控屏幕,寻找潜在的异常,事件和风险,以发现。了解违约风险、攻击向量和熟悉现代人工智能和自动化工具的要素是关键。
第二个是事件应对小组,负责处理实际的违约事件。这些工程师具有更先进的技能,通常负责法医调查、高级恶意软件分析、培训和指导更多的初级员工。
斯科特:你如何建议SOC员工让组织的员工接受教育?
Gaurav Banga:CISO和SOCs发现,游戏化是对其组织员工进行网络安全教育和降低网络风险管理所有权的有效策略。企业网络安全过程的游戏化涉及到利用人们对竞争、学习、成就和承认的自然愿望来降低企业的违约风险。