4min. read

傳統安全作業中心 (SOC) 基於持續數十年的模式,但已不再有效。企業內部發生太多轉變,「老舊思維」已不適用於現在的威脅形勢。

此時此刻正面臨啟用現代 SOC 的變革,採用 SOC 整合來達成更好的成果、更快的補救速度、更 低的風險,以及整體更強健的安全狀況。

那麼,實際上 SOC 有什麼變化?

傳統 SOC 中,IT 安全人員肩並肩緊鄰而坐,然後緊盯螢幕。螢幕上顯示無數的詳細資料、提供來自許多安全工具 的檢視與數據,並且附帶著似乎永遠捲動不完的大量警示。這種傳統 SOC 模型總是嘗試與警示和資源限制賽跑,但永遠不可能獲勝。

而疫情激化了傳統 SOC 模型中的各種挑戰。資源比起過去變得更加吃緊,而且經常無法讓全員出席 SOC。與此同 時,威脅形勢正在快速擴張,重大網路事件正以前所未有的速度持續增加。

因應這些新的事實代表現代 SOC 必須進行整合以實現事半功倍的成果,並最佳化其針對目前與未來情況和需求的 做法。

對於傳統 SOC 形成挑戰的三個問題

在傳統 SOC 中,我們看到三個主要問題導致成果不太理想,並且削弱安全狀況。

警示過多

簡單來說,傳統 SOC 試圖管理無力管理的大量警示。龐大數量造成警示麻痺,並且降低企業的效率。由於警示數 量太多,也可能輕易遺漏埋藏在眾多雜訊中的潛在重大問題。

對於警示太多挑戰的解決方案是改善真實性,以僅針對重要的問題產生警示。改善真實性也就是採用正確的流程與 工具,以最佳化 SOC 擷取的記錄與數據。

安全產品過多

我們多次觀察到的關鍵挑戰是 SOC 使用大量的安全產品。事實上,一般公司所部署的網路安全產品可能高達幾 十種。

我們遇到的企業可能在端點上有四或五種不同的代理程式,並且可能有多種類型的防火牆。如此造成的混亂可想而 知。不同的安全資產無法彼此交換情報,導致極端的混亂。管理所有工具所需的流程對於早已負擔過重的作業徒增 不必要的複雜度。

成功的 SOC 要不受情感左右地安排優先順序以及所使用的工具。SOC 需要定義想要達成的結果,然後找出達成期 望結果所需的平台與解決方案。提供一個通用平台,讓所有工具以相同語言彼此通訊,這便是 SOC 成功的關鍵。

手動程序過多

許多傳統 SOC 依賴手動程序來處理日常作業和事件。太多繁瑣的工作需要大量的人員互動,且整個流程可能相當 乏味。發生事件時,傳統 SOC 將打開手動程序的教戰守則,回顧上次類似事件發生時 SOC 所採取的步驟,然後手 動一再重新執行那些步驟。

手動程序無法調整,這會讓 SOC 分析人員疲於奔命,而且無法跟上現代 SOC 中大量活動的腳步。採用手動程序無 法有效地縮短平均偵測時間以及回應時間。

大量程序需要的是智慧型機器學習與自動化,讓人力資源得以專注於重要工作。

SOC 整合是數位轉型的機會

IT 如同產業,正在朝向同質性較高且高度整合的環境邁進。在過去,每家公司的內部部署環境大相逕庭。

現在的企業使用 SaaS 與 IaaS 的通用工具集,朝向雲端大步邁進。隨著公司改用雲端,部分用於內部部署的傳統 產品已不再適用。需要的是專注於雲端的新世代安全產品,以協助顯著提升效率。

現在正是重新佈局的時候,因為公司改用雲端,並且已踏上著手數位轉型的旅程。是時候審視 SOC 中使用的安全 產品與工具,並且判斷各自的投資報酬率 (ROI),然後整合那些安全投資,讓其成為您可以在平台中定義的一組核 心功能。