SOC即服务是网络安全公司提供的一种服务,通常充当客户的全部 security operations center (SOC). Due to extenuating circumstances, 比如人才短缺,或者一家企业可能处于初创或中年阶段,没有资源来保护其网络, SOC即服务(SOCaaS)可以作为该组织的战术控制台,从中可以跟踪安全警报, defend against cyber attacks, 提高整体安全态势.
According to IDC,组织可以将一组安全功能外包给SOC团队,包括如下 SIEM, vulnerability management, endpoint security,以及其他检测和响应工具. 客户组织也可以注册整个服务菜单. 虽然作为云服务交付,但操作将在异地进行并托管在云中. SOCaaS提供商希望代表客户提供的一些实际结果是:
With this in mind, 对于企业或安全组织来说,对其当前的安全程序进行彻底的分析也很重要, 确定其优势和劣势以及他们以前可能没有解决的实践领域. This will help narrow the focus 将SOCaaS供应商搜索转换为客户唯一的标准.
让服务提供商承担特定安全领域的最大好处可能是,客户不再需要担心该领域. 因为SOCaaS包含许多领域, as mentioned above, 让我们来看看一些具体的好处:
如果一个团队在检测到异常时反应迟缓, 很有可能会有不同方向的优先调派人员. SOCaaS提供商将派遣专门的分析师来响应网络威胁和漏洞,并将其删除或修复. For an in-house SOC, 从一种情况到另一种情况的快速上下文切换可能是一种真正的浪费时间, 这是一支专门从事侦查的队伍, response, 补救措施将能够更快地进行.
SOC分析师必须涵盖所有专业,并代表客户快速响应. SOCaaS供应商应该能够向能够解决端点遏制问题的分析师提供访问权限, threat hunting、恶意软件分析和遏制、分布式警报和升级路径等等. 了解SOC的人员、技术和路径可以帮助您寻找值得信赖的供应商.
客户安全程序加速发展的好处不容低估. soc每天都面临威胁——或者许多威胁. 有预算来解决安全计划中的不成熟问题是很好的, 但如果没有战略性的内部人才获取计划, 那么将重点转移到寻找合适的SOCaaS合作伙伴可能是一个更有效的解决方案.
Speaking of talent acquisition, 从头开始构建SOC可能会比聘请托管服务合作伙伴带来许多额外的成本. 寻找合适的技术和人员显然需要启动成本,而且一旦你拥有了这些人员和操作流程,也会出现人员流失的问题. Around 71% 半数SOC分析师表示,他们在工作中感到精疲力竭, 特别是如果这些分析师的总数只有7人左右,而且他们肩负着公司安全领域的重任.
即使公司或小型安全组织已经决定开始寻找SOCaaS供应商, 了解该SOC中的分析师和员工的角色和职责仍然至关重要. 毕竟,他们是保护你的环境和声誉的人.
这个人/职位负责监督SOC, 并将负责直接管理一个由几个人组成的安全团队. SOC经理的角色包括为公司制定整体安全策略,为招聘创造愿景, building processes, and developing the technology stack. 这个人应该能够提供技术指导和管理监督.
供应商SOC中的分析师将对其进行处理、警报和分类. 在调查期间,他们将确定它应该落在补丁或修复队列中的哪个位置. 对于内部安全组织来说,警报可能会占用大量时间, 并且有一个团队来管理和自动化分诊过程, 它可以大大减轻那些内部团队的日常负担.
这种类型的分析师通常会从他们的一级对手那里发出警报. 如果警报出现在这个人的队列中, 这意味着已经确定它是真实的,应该优先作出反应. 对警报进行更深入的调查, identifying systems affected, 制定响应和/或补救计划是该角色的关键职责.
在这个过程的这个阶段,狩猎开始了. 如果事件被确定为更严重的性质, 威胁猎人将查看攻击者或威胁如何能够通过最初的安全检查. 威胁搜索使安全分析师能够积极地查看客户的网络, endpoints, 和安全技术,寻找威胁或攻击者可能潜伏尚未被发现.
架构师通常负责构建安全架构, engineering security systems, and implementing those systems. 他们还应该能够记录需求, procedures, 以及他们创建的体系结构和系统的协议. Additionally, 他们将代表他们的SOCaaS客户对关键的法规和遵从性要求进行权衡.
SOC是公司网络安全运营的控制中心, 因此发生了一些复杂的操作. 有些方面是自动化的,有些是人工操作. 寻找合适合作伙伴的客户组织将把部分或全部业务外包出去. 让我们来看看SOCaaS在企业决定将其数字信任交给外部团队时所面临的一些挑战.
一个易受攻击的阶段将跟随SOCaaS提供者的任何约定. That is, 提供商必须配置其技术堆栈以在新客户的环境中工作, 客户端必须准备好自己的网络,以便由新的提供者部署监视协议. 下一阶段将测试和实施收集见解和根据见解采取行动的模板.
保护客户的网络安全是一回事, 但确保数据在SOCaaS提供商端是安全的则完全是另一回事. Therefore, 对于客户来说,进行研究以找到一个自身防御得到强化以保护其所有客户的企业数据的提供商是至关重要的. 这本质上变成了一个供应链问题, 应该考虑到这种方法所带来的所有因素.
对提供商操作的完全访问权和自主权(对于特定客户而言)对于该客户来说可能是昂贵的. 虽然从技术上讲,它是由客户网络生成的信息, SOCaaS提供者所采取的操作和动作是他们自己的. 考虑到这一点, 很明显,对于安全组织来说,获得对日志数据的完全访问可能代价高昂.
也许最关键的考虑因素之一是在将密钥移交给安全组织的任何操作部分时,遵守法规标准并保持合规性. 保持合规性的很大一部分是公司内外的沟通和报告. 公司高管将需要持续的报告,以向某些监管机构传达良好的合规性. 关键是要知道SOCaaS提供者是否处理遵从性,或者他们是否将实践外包给第三方提供者.
Learn more about Rapid7's Managed SOC Services