安全运营中心(SOC)由负责处理信息安全以保护业务的人员组成。虽然不是每个公司都有SOC(也没有资源来构建SOC),但它们通常存在于大中型组织和处理金融交易的公司中。
我做过系统管理员和小型组织的网络安全分析师,但没有机会在SOC工作。在处理安全措施时,我面临的众多挑战之一是处理我收到的大量警报,并从真实威胁中发现误报。
我和AI网络安全公司Balbix的CEO兼创始人GauravBanga聊了聊,让他了解SOC的工作以及网络安全是如何变化的。
斯科特马特森:足球的主要目标是什么?
Goraf Banga: SOC负责保护组织免受全天候威胁。当SOC被告知存在漏洞或正在发生的事件时,它必须尽快采取措施,以最大限度地减少或抵消造成的损害,同时保持关键业务运营的正常运行时间。
斯科特马特森:典型的足球面临哪些挑战?
Gaurav Banga:一些SOC每天可能会收到超过100万个警报,大多数SOC分析师每天只能管理20到25个警报。更糟糕的是,到2022年,未填补的网络安全职位预计将达到180万个,比2015年增加20%。因此,传统的SOC不具备有效处理来自其安全信息和事件管理(S IE M)日志的所有安全警报所需的资源和工具。
斯科特马特森:为什么组织要与大量由安全控制产生的警报作斗争?
Gaurav Banga:传统的SoCs与他们的SIEM日志产生的每日警报作斗争。尝试这些警报需要耗费大量精力,而且本质上是一种被动的练习,因为攻击可能已经破坏了一些企业系统。我们在这些警报中也有许多误报,这进一步加剧了情况。由于组织通常在修复其系统和其他漏洞方面落后,网络罪犯有机会发现公司网络中的几个安全漏洞中的任何一个,并获得未经授权的访问。
斯科特马特森:组织如何解决这个问题?
高拉邦加:SOCS需要智慧和自我学习,以便开发一种主动的安全方法。要实现这一点,SOC必须采用现代化的工具和专门的AI算法,以便自动发现所有IT资产和用户,并在数百个攻击向量中监控所有这些资产和用户的风险。此类工具可以帮助找到需要根据风险进行补救的威胁,并确定其背景和优先级。
看:哪些企业需要知道《加州消费者隐私法》(科技共和国溢价)?
斯科特马特森:GDPR和CCPA的颁布对社会团体有什么影响?
高村邦加:GDPR和CCPA的颁布应该会刺激SOC采用主动网络防御方法,如果他们还没有的话。数据破坏的后果应该可以解释这个问题。企业将因未能遵守GDP R. 《刑事诉讼法》而被处以全球年营业额4%或2000万欧元的处罚,要么通过对数据违规行为采取行动的私人权利执行,其余部分将由加州总检察长执行,每次最高罚款2500美元。
斯科特马特森:在有效的SOC中使用了哪些安全工具或平台?
Gaurav Banga:有效的SOCs可以发现所有资产和用户,持续监控数百个攻击向量,保持设备、应用和用户库存以及攻击面的实时可见性,并利用自动化安全工具和人工智能平台提供持续全面的风险评估。这将使兴业银行能够根据业务风险补救漏洞,将主动威胁概念化,减轻行动,并提高CIOS和CISO向董事会报告的整体相关性。
斯科特马特森:为了应对不断变化的安全威胁,未来的SOC需要整合什么?
戈拉夫邦加:未来的足球将是预测性和前瞻性的。它需要自动的自学习工具来持续测量和管理企业网络的整体网络安全状况,然后对手才能发起攻击。这些SOCs将全面、实时地了解其库存、漏洞、风险、相关威胁、任何主动薪酬控制以及不同资产的相对业务重要性。
斯科特马特森:什么职业元素对足球工作人员有用?
高拉夫邦加:找到受过适当培训、拥有适当经验的合适员工可能是一项挑战。
最好的SOC分析师像他们的对手一样思考,并被训练使用归纳和演绎推理以及良好的技术和业务知识来应对威胁和攻击。
大多数社会团体被组织成两个行动小组。首先是运营团队,他们不断监控屏幕,寻找潜在的异常、事件和风险,找出答案。了解违约风险、攻击向量,熟悉现代人工智能和自动化工具的要素是关键点。
二是事件响应团队,负责处理实际违约事件。这些工程师拥有更高级的技能,通常负责法医调查、高级恶意软件分析、培训和指导更多初级员工。
斯科特:你如何建议SOC员工教育组织的员工?
Gauravbanga: CISO和SOCs发现游戏化是教育员工网络安全和降低网络风险管理所有权的有效策略。企业网络安全游戏化涉及利用人们对竞争、学习、成就和认可的自然欲望来降低违约风险。