大多數(shù)情況下，SANS調查中受訪者最為困擾的安全運營中心相關問題，是可以通過計劃、策略和流程的正確組合來解決的。

今年的年度安全運營中心(SOC)調查中，SANS研究所指出了4個最為常見的SOC弱點。這些弱點的根源可被追溯到我們非常熟悉的人、過程、適度規(guī)劃和技術實現(xiàn)上。

下面我們就來看看，SOC的四大弱點究竟是哪些?安全團隊又能對此做些什么呢?

1. 自動化/編排

大多數(shù)SOC的自動化和編排程度都不高，因為SOC團隊不知道應該自動化哪些過程。公司企業(yè)的員工是第一道防線。可以從采訪SOC人員以了解他們的職責和發(fā)現(xiàn)可重復過程開始，比如IP/URL信譽、whois信息等事件證據(jù)的繁瑣收集過程。這些過程由人來做很耗時間，但卻很容易自動化。

下一步，進行風險評估和安全評估以識別資產(chǎn)和漏洞，提供監(jiān)測安全監(jiān)視效率的指標。這些數(shù)據(jù)點有助于暴露出能夠自動化的可重復過程。

安全工具間缺乏集成也是自動化和編排的阻礙。由于公司企業(yè)采用多層防御來抵御多線程攻擊，安全團隊往往缺乏對自身產(chǎn)品架構和相互間如何協(xié)同工作的清晰認知。

不幸的是，這個問題并不好解決。有些替代方案包括執(zhí)行概念驗證(PoC)和鼓勵安全供應商多了解公司的具體環(huán)境。這么做可以讓SOC評估新產(chǎn)品，發(fā)現(xiàn)漏洞，在部署之前將錯漏都糾正過來。

最后，缺乏恰當過程和操作手冊的SOC通常其安全項目的成熟度也不高。對于這些公司，與托管安全服務提供商或托管檢測及響應服務合作是不錯的選擇。

2. 資產(chǎn)發(fā)現(xiàn)與庫存管理

資產(chǎn)庫存與管理很難。即便有自動化工具幫忙，該任務對技術團隊而言仍是個沉重的負擔，尤其是在最初的時間及精力的前期投入上。當今這個講求即時滿足的世界，大多數(shù)公司企業(yè)都希望只要投入某個工具，馬上就能看到業(yè)務過程的加快。但鑒于IT環(huán)境和技術的動態(tài)本質，SOC團隊往往不得不擼起袖子親自下場干活，工具的效率提升效果并不太高。

任何資產(chǎn)管理項目都要求良好的規(guī)劃和對環(huán)境的完全理解。如果缺乏這些關鍵步驟，任何工具都不會達到預期。對公司環(huán)境做個風險及安全評估是個良好的開端。漏洞評估的發(fā)現(xiàn)階段將產(chǎn)出能作為起點使用的基線。但需要記住的是，安全領域不存在通用解決方案，公司企業(yè)應預期資產(chǎn)管理解決方案實現(xiàn)過程中的挫折與反復。不過，一旦正確部署，便能享受源源不斷的長期紅利。

3. 人工事件關聯(lián)

聽起來似乎有點反直覺，但確實是個不錯的解釋。部署SIEM并不是按個開關再指定幾個日志源那么簡單的事。公司企業(yè)必須了解自身日志源和這些源所提供的整體可見性。

為獲得這一可見性，網(wǎng)絡審計是必不可少的步驟。審計結果可以發(fā)現(xiàn)應設置網(wǎng)絡分接器的位置、應保持通聯(lián)的設備，還有應避免的漏洞或阻礙。Web代理屏蔽或DHCP短租約之類的阻礙可能會導致調查人員無法定位潛在受害者，限制公司SIEM執(zhí)行恰當?shù)氖录�關聯(lián)動作。了解這些漏洞和SIEM的限制可以幫助SOC更好地摸清仍需人工關聯(lián)的地方。

4. SOC/NOC融合

這一缺陷是個文化問題。SOC團隊的任務是檢測和防護，而網(wǎng)絡運營團隊(NOC)的任務是保持正常運行和系統(tǒng)可用性。兩個團隊之間經(jīng)常發(fā)生沖突。比如說，長久以來的最小權限沖突。NOC團隊希望掌握暢行無阻的高權限。SOC團隊則致力于封鎖環(huán)境以發(fā)現(xiàn)可能標志著惡意行為的異常。

更糟的是，兩支團隊通常都人手不足，維護網(wǎng)絡可用性和保護網(wǎng)絡安全的相關責任堆成山。為彌合這一缺口，公司企業(yè)可以施行明確了SOC和NOC團隊間沖突解決規(guī)則的過程及程序，讓兩個部門都有清晰的指導方針可供互動。

有了合適的規(guī)劃和部署，再輔以正確的過程及程序，大多數(shù)公司企業(yè)都可以跨越SOC弱點。至于缺乏適當資源或安全項目成熟度不足的公司，托管安全服務提供商或托管檢測及響應服務都是不錯的選擇。

標簽： [db:TAGG]

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。