在RSA2012大会上,有一个技术研讨会,题目是建立SOC(安全运营中心),讲演者是前BT的一个伙计,现在已经在甲方干活了。他的讲演从建立SOC所需的技术、流程和组织三方面进行了阐述,并着重说到了自建和外包SOC的选择问题。
大体的提纲如下:
1)SOC规划注意事项:全面审视现有的流程;选址;资源投入计划;培训计划;为变化做好计划——“不要等到万事俱备了才开干”,呵呵,这跟之前Intel的SOC构建最佳实践是一致的(don't put everything prepared ahead)。
2)选择SIEM工具的注意事项:SIEM是一个工具,能够协助分析师,提升工作效率,但是不能替代分析师。更深层次地,要厘清的是关于自动化和人的关系的问题。也就是说是否存在一个工具,能够自动地进行事件分析,从而取代分析师?这篇论文早就给了我们一个回答。这个问题在国内更加容易让人迷惑。呵呵,这下终于有了引证。
3)自建还是外包SOC?本质上取决于需求分析。而单纯比较两种建立SOC的方式,则各有优缺点。讲演者重点阐述了外包SOC的选取原则。例如,你应该询问MSSP的几个关键问题包括:服务人员、服务的稳定性、规模、性能指标、SLA。另外,对于自己,还应该考虑清楚自身的服务转换能力、以及更换供应商的策略。最后,对于MSSP的宣传口号要进行甄别,最好的办法就是提前验证,例如7×24响应(你晚上2点打电话真的有人接吗?),实时分析(真的是实时吗?),报告真正重要的事件(要验证报警的频度、误报漏报情况)。
4)人的问题——SOC分析师。谈到了SOC分析师的岗位技能要求,以及如何留住好的SOC分析师。呵呵,如果你在美国登录招聘网站,查找SOC分析师的工作岗位,会有一大堆招聘启事,很多公司常年缺人。
5)流程的问题——很强调“文档化”的工作;
6)SOC的度量,或者说SOC收益的度量问题,包括人/分析师的度量(绩效)和对系统的度量(ROSI)。关键在于度量指标的选取。
本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/