安全运营中心的六大陷阱
安全运营中心(SOC)是企业安全防御体系的“免疫中枢”和大脑,建设现代化而高效的安全运营中心是每个CISO的梦想,但是这个梦想往往也充斥着陷阱。
1.工具陷阱
每个安全运营中心都希望采购最新最好(通常也是更贵)的工具来捕捉对手和威胁。但更多的时候,安全运营中心面临的问题是工具过剩而不是工具缺失。
根据趋势科技的报告,员工规模超过1万人的大中型企业平均拥有大约46个监控工具,由于缺乏人才和工具集成,其中许多未被使用、未充分利用或被遗忘。该调查发现工具泛滥在事件检测和响应中越来越普遍,这可能会导致高昂的相关成本。
2.工作量陷阱
SOC分析师的工作很多是重复性的,1级分析师比3级分析师的情况更加糟糕。根本问题是整个方法存在缺陷。典型的流程是(按此顺序):安全威胁、事件数据、警报、验证和事件响应。但这种方法导致了事件响应和安全威胁之间的脱节,这导致分析师疲劳。
3.人力资源陷阱
大多数网络安全公司都在宣传SOC是安全人才开启网络安全事业的好地方。很遗憾,事实可能并非如此。安全运营中心的工作淹没在警报海洋中,警报疲劳折磨着每个人。但有一件事听起来很酷,即便你是才上岗一个月的菜鸟,你也可以在安全事件发生的半夜直接给CISO打电话。
SOC的第一线和第二线的大量岗位通常都是只有几年经验的新手或中级员工,原因很简单,SOC需要24×7运行,需要大量人手,招募经验较少的员工可以控制成本。
4.KPI陷阱
每个经理无一例外都从商学院学到了同一个技能:用KPI来运行和优化部门。但遗憾的是,对于KPI模型来说,网络安全太复杂了。大多数情况下,KPI都是基于时间的。例如,您需要在警报响起15分钟后完成第一次分析(姑且不谈人员的压力因素)。
谁能在15分钟内完成高质量的深入分析?但计时器不会理会这些,它会在警报生成的那一刻启动。如果你正准备去卫生间,那么,恭喜你。如果上一个级别的员工无法在截止时间之前完成工作,则下一个级别将接管,结果嘛,赶工的代价就是牺牲分析质量,这并不利于安全。
5.机器学习陷阱
多年来,每个SIEM厂商都承诺他们的SIEM平台可检测任何安全威胁。然而,这是不可能的。而且,将云服务与本地数据中心相结合往往使情况变得更糟。
然后是被鼓吹得像万灵药的机器学习,往往都是商业炒作。机器学习/数据科学的模型需要数年时间来训练和学习,而实施用户行为分析只需要几周时间。
6.成熟度陷阱
按照流行的SOC成熟度模型的说法,一个刚启动运行的安全运营中心错过一些安全事件是可以接受的。但这种观点是错误的。安全运营中心需要从第一天起就达到最佳状态。
专家们认为SOC需要经常根据CMMI模型评估和改进,但这种方法值得商榷,因为问题的重点往往不是威胁检测,而是事件响应,而后者是成熟度模型的盲区,每个企业的业务和环境不同,事件响应的方法和流程也不同,这反过来决定了你的威胁检测方法。