观点文章
作者:Jim McGarry,IBM Security 托管安全服务总监 【背景】 安全运营中心 (SOC) 在过去十年间已经发生了大幅改变。Gartner 预测,到...
作者:Jim McGarry,IBM Security 托管安全服务总监
【背景】
安全运营中心 (SOC) 在过去十年间已经发生了大幅改变。Gartner 预测,到 2022年,50%的安全运营中心 (SOC) 将转型为带有集成式事件响应、威胁情报和威胁捕获功能的现代化中心,而在 2015年,这一比例不到 10%。随着整个企业中网络事件数量的成倍增长,组织已开始大力投资部署检测和响应工具。
【分析】
负责运营 SOC 的人员及相关文化必须适应不断加速的业务发展。
实际上,没有任何单个安全解决方案或个人可以解决安全领域的各个方面,对企业而言,信息技术需要人员、流程、技术和文化相结合,这是有原因的。安全性涉及到许多领域和学科,这些加在一起可以驱动良好的安全计划,但前提是要具有正确的战略和运营模型。
要实现安全计划的真正成功,您需要与负责安全计划日常运行的人员一同构建良好的文化。为此,我想要与大家分享一下我们是如何在 SOC 中做到这一点的。
【观点】
我认为,SOC 的两个基本要素是人员和文化。
技能熟练的专家有助于改善优化和改造世界一流安全运营所需的系统和流程。您需要优秀的人才来发挥所有作用。最好是您拥有一种强大的、积极向上的文化,激励团队前行并在当今复杂的格局中注入变革思维。
此外,尽管它看起来像是一个简单的概念,但您的员工需要相互分享各种想法、专业知识和经验,不断提高企业的安全性和技能,如此方能领先于竞争对手。
【路径】
1,通过职业发展在 SOC 内部建立强大的文化
安全是一项团队协作运动。参与其中的所有“玩家”都要知道所负责位置的来龙去脉,以及他们所在学科的对应战略。增强团队协作能力的最好方法之一就是通过协作。我看到许多 SOC 都已开始推动人员、流程、技术和文化的转型。各个职能各自为政的方法已经不再奏效。
举例来说,威胁分析人员需要与网络工程师合作,后者需要与 Windows Server 安全专家紧密合作,反之亦然。团队成员必须相互依靠,以了解对手如何在运作过程中使用各种策略和技术。我们在 SOC 中的目标之一是检测重要威胁,超越威胁实施者的速度。我们可以通过将最优秀、最聪明的人才与专业能力相结合来做到这一点。
我们的全球安全运营中心致力于培养信任、包容和开放的文化。这三个要素具体指的是什么呢?
安全作为一种实践,它要求专业人员信任并依靠同事的专业知识来确保系统安全。这种信任能够推动形成一种包容和开放的文化,积极地迎接新思想、新策略和新战略。我们可以将其视为一个持续学习的机会。这种文化需要我们的安全专家开放地分享他们的深厚专业知识,并相信它能够以准确、有效的方式缓解风险。它也是一个持续学习的环境,因为任何人永远都不可能成为通才。有太多的重要细节会被忽略。
在我们的 SOC 中建立强大文化的另一个关键点就是鼓励员工掌控自己的技能发展路径。我们要鼓励 SOC 员工追求他们最感兴趣的安全技能,并让其与业务需求保持一致。
此外,我还鼓励团队成员之间相互交流,并公开地将他们所熟知的技能和专业知识分享给其他 SOC 团队成员。无论是行业证书、应用证书、出版物,还是我们为客户解决的问题 —— 这一点最为重要,我们都需要始终走在前列。
所有这些都可以用于帮助其他面临类似挑战的客户。当您的 SOC 同事知道您擅长某个特定领域时,他们就会信任您的专业知识,而且可以依靠您所拥有的知识来帮助他们的客户解决特定挑战。
2,专注于提升成功案例,以解决其他问题
能做到保护系统的良好安全通常并不出名。您经常会听到一些大型企业遭受数据泄露、数据丢失的新闻。这是安全团队最糟糕的噩梦。不过,如果成功阻止了民族国家破坏分子或零日恶意软件的攻击,或者成功保护了组织免受大规模勒索软件攻击,是否值得庆祝?这些都是 SOC 中发生的不为人知的故事。
安全从业人员和安全运营团队即便是阻止了重大网络攻击或阻止了对手造成更大破坏,他们一般也不会庆祝。不过,随着 SOC 文化建立,我们会庆祝在预防问题方面取得的成功以及相应的解决方案和战略。通过展示团队的成功案例,我们为 SOC 的所有成员营造了一个持续的学习环境。
我们通过游戏化活动和友好的团队竞争来发现安全环境中特定类型的攻击。举例来说,许多客户都会在其网络上进行渗透测试,这种测试会同时测试他们的系统和我们的服务。如果我们未能为客户识别某一次渗透测试,他们可能就会想知道为什么不能。我们要求团队主动寻找渗透测试者。当某个分析人员发现某个渗透测试活动时,我们就会认可这名分析人员,并在整个小组中分享相应的策略和技术,以此作为一个学习机会。
还可以考虑采用其他方式,比如针对 SOC 中的安全分析人员推出游戏化活动和奖励。团队成员会热切地希望找到使用最新 AI 技术、机器学习或逆向工程的解决方案,以快速确定渗透测试演练或其他攻击技术。利用我们安全专业人员的自然好奇心来寻找解决办法,是我们的文化所营造的环境。
3,有关如何在安全运营中心内建立文化的其他 Tips
协作、开放、信任和包容是我们在安全运营中心内建立文化的关键。
我们还通过从各种系统收集信息并在各个平台之间共享信息的方式来缩短检测和响应时间、提高分析质量并减轻客户因警报而形成的疲劳。
以下是在全球 SOC 内建立世界一流文化的一些其他贴士:
- 在初级和高级分析人员之间建立指导计划。
- 为 SOC 中的角色专业设置相应的学习路径。
- 推动主题专家经常举办午餐会和学习会,以展示他们深厚的知识和专长。
- 运用基于当前策略和技术的模拟培训演练来打磨实践经验。
如果您希望扩展安全团队,则可以观看一个最新的短视频,了解 IBM Managed Security Services 如何帮助您 24x7 全天候监控、管理及应对高级威胁、风险和合规性要求。