安全运营中心是企业威胁控制策略的重要组成部分。Nemertes的2019-2020年云与网络安全研究报告发现,43%威胁控制能力的提升与部署SOC相关。然而,无论是内部还是外部管理的SOC,都会面临人员、流程和技术方面的8个挑战。
人员问题
SOC在人员方面面临很大障碍,以下是三个主要问题:
- 人员短缺
- 技能短缺
- 知识短缺
挑战1: 人员短缺
在安全领域,企业长期面临的困难是,缺乏训练有素、经验丰富的人员。而快速转移到新的运营模式、云基础架构和云原生应用程序架构只会加剧这一问题。如果只有小部分企业应用程序通过无服务器平台交付,那么,采用无服务器关键任务系统的企业可找到并负担具有相关知识和经验的SOC员工的可能性有多大?
挑战2: 技能短缺
技能短缺也是一个问题。当企业无法聘请人员填补安全技能方面的空白时,只能让现有人员去填补。他们加紧学习,但并非没有问题。例如,如果SOC团队无法熟练地使用监视和管理工具来有效地干预威胁,则可能会导致响应变慢和响应失败。当工作人员努力设法找到正确功能去诊断事件然后进行干预,这会导致响应很慢。而员工错过工具所提供的指示或缺少阻止攻击所需的干预措施,则将导致响应失败。
挑战3: 知识短缺
知识短缺与技能短缺密切相关。即使是那些精通所有系统管理工具的人,如果对所保护的系统环境知之甚少,他们也会失败。对环境了解太少会导致无法识别问题本身,或者增加对不存在的问题做出不适当响应的机会。SOC团队将收到更多的误报和漏报,并浪费时间处理这些问题。最终,员工将无法对实际攻击做出反应。
流程问题
在流程方面(其中包括预算),SOC面临两个主要问题:
- 流程延迟
- 预算分配错误
挑战4. 流程延迟
流程延迟有两个方面:系统和人员。系统流程延迟方面是指,SOC流程的发展速度不足以应对SOC监视的系统环境中的变化。人员方面的问题是,环境和流程的发展都快于人们对其的理解。这就是说,流程滞后于环境,而人员滞后于流程。
SOC流程并不是全面行动框架。员工很少时间花在临时修复新流程,从而导致对问题的响应缓慢而又不完整。而且,由于很多临时流程最终都必须被丢弃,没有被理解,因此造成工作人员和时间的双重浪费。
挑战5. 预算分配错误
对于预算,Nemertes在研究中发现,很多IT企业没有将安全预算作为风险的基础。取而代之的是,他们将安全性支出确定为IT总支出的部分百分比,或与某些同行基准挂钩。而那些根据风险进行预算的企业(事故概率与造成的损害程度的交集),在确保企业安全方面更为成功,因为他们专注于缓解具有最大损害可能性的威胁,而不仅仅是很可能造成损害的威胁。
技术问题
技术也给SOC团队带来挑战,主要三个问题包括:
- 缺乏适当的工具
- 分析和筛查不足
- 缺乏自动化和集成
挑战6.缺乏适当的工具
缺乏适当的监视和管理工具通常是因为所监视的系统环境快速变化导致。系统从数据中心迁移到云环境可能也需要新的安全工具。在容器中开发和部署的应用程序需要保护,但是SOC可能没有任何工具可以使他们看到这些系统,也没有办法可干预该环境。
挑战7.分析和筛查不足
对于SOC,分析和筛查是必要的工具,但这二者通常不足。在SOC中,令人难以置信的破坏性问题是,其中的工作人员经常要面对大量令人误解的误报安全警报,而员工是IT中最稀缺的资源。那些能够更好地识别误报、清除重复项并在整个系统中关联警报以帮助进行威胁检测的工具,对于限制警报疲劳以及创建和维护可持续的SOC操作至关重要。
挑战8.缺乏自动化和集成
同样,SOC中的人员转移到跨系统的集成点(也称为转椅集成)会引起人为错误。通过将员工锁定在重复任务,他们实例化对安全事件的标准响应工作流程,企业会增加员工的疲劳和倦怠,并将事件响应速度限制在人类范围内:员工感知时间加上员工理解时间加上员工响应时间。自动化和集成对于避免这些问题至关重要。
企业将继续显示出对SOC的需求,但是IT必须解决这8项挑战-如果SOC外包则必须与提供商合作-以确保企业得到最佳保护。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]