安全運(yùn)營(yíng)中心(SOC)由負(fù)責(zé)處理信息安全以保護(hù)業(yè)務(wù)的人員組成。雖然不是每個(gè)公司都有SOC(也沒有資源來構(gòu)建SOC)，但它們通常存在于大中型組織和處理金融交易的公司中。

我做過系統(tǒng)管理員和小型組織的網(wǎng)絡(luò)安全分析師，但沒有機(jī)會(huì)在SOC工作。在處理安全措施時(shí)，我面臨的眾多挑戰(zhàn)之一是處理我收到的大量警報(bào)，并從真實(shí)威脅中發(fā)現(xiàn)誤報(bào)。

我和AI網(wǎng)絡(luò)安全公司Balbix的CEO兼創(chuàng)始人GauravBanga聊了聊，讓他了解SOC的工作以及網(wǎng)絡(luò)安全是如何變化的。

斯科特馬特森：足球的主要目標(biāo)是什么？

Goraf Banga: SOC負(fù)責(zé)保護(hù)組織免受全天候威脅。當(dāng)SOC被告知存在漏洞或正在發(fā)生的事件時(shí)，它必須盡快采取措施，以最大限度地減少或抵消造成的損害，同時(shí)保持關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)的正常運(yùn)行時(shí)間。

斯科特馬特森：典型的足球面臨哪些挑戰(zhàn)？

Gaurav Banga:一些SOC每天可能會(huì)收到超過100萬(wàn)個(gè)警報(bào)，大多數(shù)SOC分析師每天只能管理20到25個(gè)警報(bào)。更糟糕的是，到2022年，未填補(bǔ)的網(wǎng)絡(luò)安全職位預(yù)計(jì)將達(dá)到180萬(wàn)個(gè)，比2015年增加20%。因此，傳統(tǒng)的SOC不具備有效處理來自其安全信息和事件管理(S IE M)日志的所有安全警報(bào)所需的資源和工具。

斯科特馬特森：為什么組織要與大量由安全控制產(chǎn)生的警報(bào)作斗爭(zhēng)？

Gaurav Banga:傳統(tǒng)的SoCs與他們的SIEM日志產(chǎn)生的每日警報(bào)作斗爭(zhēng)。嘗試這些警報(bào)需要耗費(fèi)大量精力，而且本質(zhì)上是一種被動(dòng)的練習(xí)，因?yàn)楣艨赡芤呀?jīng)破壞了一些企業(yè)系統(tǒng)。我們?cè)谶@些警報(bào)中也有許多誤報(bào)，這進(jìn)一步加劇了情況。由于組織通常在修復(fù)其系統(tǒng)和其他漏洞方面落后，網(wǎng)絡(luò)罪犯有機(jī)會(huì)發(fā)現(xiàn)公司網(wǎng)絡(luò)中的幾個(gè)安全漏洞中的任何一個(gè)，并獲得未經(jīng)授權(quán)的訪問。

斯科特馬特森：組織如何解決這個(gè)問題？

高拉邦加：SOCS需要智慧和自我學(xué)習(xí)，以便開發(fā)一種主動(dòng)的安全方法。要實(shí)現(xiàn)這一點(diǎn)，SOC必須采用現(xiàn)代化的工具和專門的AI算法，以便自動(dòng)發(fā)現(xiàn)所有IT資產(chǎn)和用戶，并在數(shù)百個(gè)攻擊向量中監(jiān)控所有這些資產(chǎn)和用戶的風(fēng)險(xiǎn)。此類工具可以幫助找到需要根據(jù)風(fēng)險(xiǎn)進(jìn)行補(bǔ)救的威脅，并確定其背景和優(yōu)先級(jí)。

看：哪些企業(yè)需要知道《加州消費(fèi)者隱私法》(科技共和國(guó)溢價(jià))？

斯科特馬特森：GDPR和CCPA的頒布對(duì)社會(huì)團(tuán)體有什么影響？

高村邦加：GDPR和CCPA的頒布應(yīng)該會(huì)刺激SOC采用主動(dòng)網(wǎng)絡(luò)防御方法，如果他們還沒有的話。數(shù)據(jù)破壞的后果應(yīng)該可以解釋這個(gè)問題。企業(yè)將因未能遵守GDP R. 《刑事訴訟法》而被處以全球年?duì)I業(yè)額4%或2000萬(wàn)歐元的處罰，要么通過對(duì)數(shù)據(jù)違規(guī)行為采取行動(dòng)的私人權(quán)利執(zhí)行，其余部分將由加州總檢察長(zhǎng)執(zhí)行，每次最高罰款2500美元。

斯科特馬特森：在有效的SOC中使用了哪些安全工具或平臺(tái)？

Gaurav Banga:有效的SOCs可以發(fā)現(xiàn)所有資產(chǎn)和用戶，持續(xù)監(jiān)控?cái)?shù)百個(gè)攻擊向量，保持設(shè)備、應(yīng)用和用戶庫(kù)存以及攻擊面的實(shí)時(shí)可見性，并利用自動(dòng)化安全工具和人工智能平臺(tái)提供持續(xù)全面的風(fēng)險(xiǎn)評(píng)估。這將使興業(yè)銀行能夠根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)補(bǔ)救漏洞，將主動(dòng)威脅概念化，減輕行動(dòng)，并提高CIOS和CISO向董事會(huì)報(bào)告的整體相關(guān)性。

斯科特馬特森：為了應(yīng)對(duì)不斷變化的安全威脅，未來的SOC需要整合什么？

戈拉夫邦加：未來的足球?qū)⑹穷A(yù)測(cè)性和前瞻性的。它需要自動(dòng)的自學(xué)習(xí)工具來持續(xù)測(cè)量和管理企業(yè)網(wǎng)絡(luò)的整體網(wǎng)絡(luò)安全狀況，然后對(duì)手才能發(fā)起攻擊。這些SOCs將全面、實(shí)時(shí)地了解其庫(kù)存、漏洞、風(fēng)險(xiǎn)、相關(guān)威脅、任何主動(dòng)薪酬控制以及不同資產(chǎn)的相對(duì)業(yè)務(wù)重要性。

斯科特馬特森：什么職業(yè)元素對(duì)足球工作人員有用？

高拉夫邦加：找到受過適當(dāng)培訓(xùn)、擁有適當(dāng)經(jīng)驗(yàn)的合適員工可能是一項(xiàng)挑戰(zhàn)。

最好的SOC分析師像他們的對(duì)手一樣思考，并被訓(xùn)練使用歸納和演繹推理以及良好的技術(shù)和業(yè)務(wù)知識(shí)來應(yīng)對(duì)威脅和攻擊。

大多數(shù)社會(huì)團(tuán)體被組織成兩個(gè)行動(dòng)小組。首先是運(yùn)營(yíng)團(tuán)隊(duì)，他們不斷監(jiān)控屏幕，尋找潛在的異常、事件和風(fēng)險(xiǎn)，找出答案。了解違約風(fēng)險(xiǎn)、攻擊向量，熟悉現(xiàn)代人工智能和自動(dòng)化工具的要素是關(guān)鍵點(diǎn)。

二是事件響應(yīng)團(tuán)隊(duì)，負(fù)責(zé)處理實(shí)際違約事件。這些工程師擁有更高級(jí)的技能，通常負(fù)責(zé)法醫(yī)調(diào)查、高級(jí)惡意軟件分析、培訓(xùn)和指導(dǎo)更多初級(jí)員工。

斯科特：你如何建議SOC員工教育組織的員工？

Gauravbanga: CISO和SOCs發(fā)現(xiàn)游戲化是教育員工網(wǎng)絡(luò)安全和降低網(wǎng)絡(luò)風(fēng)險(xiǎn)管理所有權(quán)的有效策略。企業(yè)網(wǎng)絡(luò)安全游戲化涉及利用人們對(duì)競(jìng)爭(zhēng)、學(xué)習(xí)、成就和認(rèn)可的自然欲望來降低違約風(fēng)險(xiǎn)。