是时候实现 SOC 2.0 了

 SOC,安全运营中心,为取得其最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。

[[183455]]

早在几年前,企业就开始创建SOC来集中化威胁与漏洞的监视和响应。第一代SOC的目标,是集中管理、分析和响应来自多个不同边界和终端工具的警报与事件。操作员通常坐在特定工具控制台前,比如DLP,或者将所有日志收集到一个地方的SIEM工具前。另外的可视化与地图类屏幕也醒目地展示出来,供来访的高管们巡视。

SOC的诞生,是为了整合响应员工,强化各不同安全域之间的协作,更加容易地“抓住坏人”。然而,让员工手动分析成堆的数据,从孤立的事件和指标中寻找联系,被证明是低效、不可持续且令人难以承受的,尤其是在数据量持续暴增,而具备资格的分析师增长不足以弥补人才缺口的情况下。

另外,攻击也越来越复杂和不可检测,特别是我们缺乏更高级的机制以连接上不同传感器和行为数据,那就更加不可能检测出愈趋复杂的威胁了。

为跟上黑客的脚步,我们需要武装起操作员,让他们具备尽快决策并采取最有效行动的能力。

整合或集成不仅仅意味着将数据放进一个集中的地方,甚至全都弄到一个工具里。想要从SOC流过的海量数据中抽取出真正有意义的情报,就得把它们都套进一个统一的模型,将SOC的观点从孤立事件转变为互动实体。将所有这些数据以有意义的方式集成的关键,在于上下文的添加。

技术性事件数据缺乏业务和风险上下文,不能有效驱动优先化的响应。最终,我们的目标不是阻止每个攻击,或者响应来自每个传感器的每一个事件。正如业务连续性计划不追求(也无法)通过确保业务关键过程维持合适的可操作性,来防止所有可能的业务中断和进行风险管理;SOC的目标,就是缓解造成最大业务风险的那些风险因素。

将公司和信息资产上下文嵌入整合的数据模型,可为分析工具和人类操作员提供必要的业务上下文,以基于运营及财务视角看来的重要程度,优先化他们的响应操作。

人的因素是SOC运营最大的挑战。尽管我们都梦想通过完全自动化整个检测和响应过程,来解决技术人才短缺问题,在预见得到的未来,这事儿怕是不太可能梦想成真的。所以,当前的关注重点,应该放在使用机器学习、人工智能和自动化分析工具,来最小化SOC操作员工作所需的知识和手动操作上。这包括了使用行为和风险价值分析工具,来最小化误报,基于业务风险提供给操作员“下一步行动”指示,以及用最少的点击验证和弄懂已确认风险的一套机制。

让SOC操作员更有效工作的逻辑延伸,是为已验证的风险添加自动化响应选项。一旦分析师已经审查并核实了所发现威胁或漏洞的本质,他们应该能够通过点击按钮来采取自动化的行动。

无论公司拥有多少SOC操作员,他们不可能同时身处各方,也不可能完全掌握公司所有人员的具体情况。为取得SOC的最佳效果,以及真正最小化网络风险,需要全员就位,让安全成为每个人的责任。

无论是每个邮箱用户标记潜在网络钓鱼邮件,还是应用拥有者确认自身应用中的不正常行为,公司每个人都应被看做是SOC的信息渠道。这不意味着每个人都是SOC的一部分,但每个人都应该意识到网络风险,有能力告知SOC。

正如每个员工都能提供公司内可疑事件的情报,与其他公司以及政府合作,将提升自家公司预防攻击的可能性。来自供应商、第三方组织和政府信息中心的威胁情报,其共享与实施的增长,对正方的胜利愈加关键。

早期SOC是驯服网络安全这头野兽的关键第一步。就像其它任一关键业务运营一样,最佳实践脱胎于经验教训,而技术创新将更高效地最小化网络安全风险对商业的影响。

是时候实现 SOC 2.0 了!

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/139238.html<

(0)
管理的头像管理
上一篇2025-03-03 09:32
下一篇 2025-03-03 09:33

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注