首页| 新闻活动

鉴往知来|Micro Focus与您共享2020安全维运成功之道

来源:Micro Focus时间:2020-03-11浏览数:63

2019年的数据外泄事态更加严峻。在2019年9月底前全球就已经有5183个漏洞、79亿笔记录外泄的报告。与2018年同期相较,2019年第三季的漏洞总数增加了33.3%,而记录外泄的总数则增长一倍以上,达112%。

这突显了一个现象:面对防护网络攻击这个领域,企业或组织还有很多要努力的地方。因此,2020年,企业中担当重任的安全运维管理中心(SOC)该做哪些事情才能对抗网络罪犯,保护企业的重要资产?要如何才能做好万全准备以克服各种运维上的挑战?

鉴过往:2019的挑战

了解问题才能解决问题。根据Micro Focus最新的《2019安全运维最新状况》报告,在调查全球六大洲共33个国家的150个独立SOC单位时,他们表达了在人才、预算、流程、技术和任务等五个层面上必须解决的问题(如图)。

软件测试工程师

图:Micro Focus安全情报与运维咨询(SIOC)部门

在2019调查中所发现的五大趋势

同时,从这项调查中,我们也发现了安全运维团队可在2020年借以参考运用的最佳实务,以及表现优异的SOC所具备的一些共同特色。

多元人才与培训

缺乏熟练的安全专业人员已是整个产业的趋势,不少受访企业反映其他机构都在抢要他们自己所培养的安全专家。而依据我们的经验,要实现成熟、高效的SOC,需要配置足够的熟练人员才能快速处理大量事件,因此我们建议除了要有适当的教育训练之外,在人才背景上也最好尽量多元化,如聘请有数据库管理或应用程序开发经验者。如此一来可让SOC团队具备多元的观点和广泛的技能与经验,同时还能借此接触到更多的不同人才。

展现安全维运投资对企业的价值以确保预算

我们所访谈的企业几乎都有争取安全运维经费的困难,许多SOC更认为其企业没有或不再投资足够的预算在安全运维上。因此建议的作法是提升SOC与企业的目标一致性,追踪及展现安全运维投资对企业的价值所在,并回报SOC成功保护攸关企业使命的高价值企业资产。例如,石油与天然气产业的公司,可以展示其SOC部门如何保护机密的开采数据,避免竞争对手取得新油源的机密信息。

定义明确的流程和程序

在2019年,我们发现有更多SOC未针对流程发展出一套坚实的基础。其运维流程不是停滞、没有持续改善,就是采用无流程文件纪录的临时性作法。缺乏定义清楚的流程和程序,不但造成SOC的运作依赖着几个「超级明星」员工的知识,而且影响运维指标的正确性,对相关服务等级的目标达成也会有负面冲击。

我们观察到,最成功的SOC会采用一套可调整、可移转、整合性的流程和程序知识管理系统。透过系统的可移转性和维护简易性,所有图象、录制视频、脚本及其他运维材料,都可以公布给整个SOC团队分享。主管应将运维文件作为追踪与评量SOC关键绩效指标的条件之一。

确认使用案例以善用新兴科技

各种新兴技术如人工智慧与机器学习、使用者及实体设备行为分析(UEBA)等,为安全运维主管带来了减轻其安全运维负担的希望。然而新技术无法自动解决既有的问题,唯有人员和流程基础均妥善建置后,才能充分运用这些新科技。

因此,为发挥SOC已部署技术方案的最大价值,最重要的第一步是确认安全性使用案例,再选用符合使用案例的正确工具。一旦备好使用案例的文件,写出支持使用案例的内容,就能提升SOC的能力,有效地找出已知威胁,进而让分析师有时间和资源,运用UEBA等新科技找出未知的威胁。

责任始于正确了解保护的对象

2019年调查有一个很特别的发现:许多SOC缺乏明确的使命定义,或未向其员工及其他部门沟通。通常这种情况源自于大家并不清楚或了解SOC需要保护的最重要企业资产是什么(如使用者、应用程序、数据、智慧财产等)。

所以SOC的责任,始于正确了解要保护的是什么。是要避免由某些国家支持的黑客中断企业的运作吗?还是要保护研发中的产品数据,以防止竞争对手窃取并抢先上市新产品?最佳实务是:完全了解所要保护的对象、明确定义使命,并利用服务等级目标及驱动正确行为的关键营运指标,让SOC的运维能力与使命达成一致。

知未来:2020新时代SOC

从调查的结果来看,新时代SOC的样貌究竟应该如何?我们认为,新时代SOC解决方案除了应具备扩充性、开放性、整合性,能降低风险暴露,又提供更智慧的威胁侦测、调查和响应处理功能之外,还要能整合威胁狩猎、人工智慧与机器学习、UEBA、安全协调、自动化与响应及其他进阶技术。

最后,新时代SOC的主要特点在于互通性:所有核心及支持性的技术都将整合在一起,以填补资安防卫的缺口,或改善威胁侦测、调查和响应的效率。其意义在于,所有安全解决方案均将协同运作,其成效超越各部分的总和。

见贤思齐!一流SOC团队的共同特征:

1、 由上而下的承诺

一流的SOC团队具备自上而下的领导阶层,拥有来自执行者的书面、行动和资金支持。表现优异的SOC通常在运维阶层拥有领导地位,有高阶主管的支持,且都能直通董事会。

2、 持续改善的纪律

这些团队会不断寻找改善安全运维工作的新方法,如发展新的流程、强化教育训练等,以便为公司创造更好的成效,并提高SOC的效率。

3、 人才培养的投资

他们会在经验丰富的员工、教育训练及认证(包括所谓的白帽黑客认证Certified Ethical Hacker)上投入资源。

4、 坚实的基础

一流的SOC团队必先做好基本功,并在这个坚实的基础上持续扩展,不会「走」之前,他们绝不会想要「跑」。

5、 验证并改善

他们会利用安全运维评估服务作为验证并改进其发展蓝图的客观工具。

6、 确保IT任务的一致性

他们了解并能检视整个IT基础架构、端点装置和服务器。


Micro Focus软件培训认证中心

广州赛辰认证服务有限公司

联系我们

广州赛辰认证服务有限公司

电话:020-32200125

邮编:510663

地址:广州高新技术产业开发区科学城彩频路9号501E/F/G