編輯搜圖

過去兩年，說服企業(yè)領(lǐng)導(dǎo)者認(rèn)真對(duì)待網(wǎng)絡(luò)安全變得容易多了。從SolarWinds黑客攻擊，到疫情促使在家辦公蔚然成風(fēng)帶來普遍問題，越來越多的企業(yè)組織開始面臨更多的安全挑戰(zhàn)，企業(yè)高管也開始越來越關(guān)注企業(yè)網(wǎng)絡(luò)的安全性。

精心設(shè)計(jì)、精心維護(hù)且人員配備齊全的安全運(yùn)營(yíng)中心已經(jīng)成為現(xiàn)代企業(yè)組織必須依靠的安全防線，它是一個(gè)進(jìn)行集中安全運(yùn)維的地方，安全團(tuán)隊(duì)通常全天候不間斷地監(jiān)控、檢測(cè)、分析和響應(yīng)網(wǎng)絡(luò)安全事件。企業(yè)組織要確保網(wǎng)絡(luò)安全，不妨認(rèn)真審視一下自己的安全運(yùn)營(yíng)中心。

以下梳理了現(xiàn)代企業(yè)安全運(yùn)營(yíng)中心必須具備的10種基礎(chǔ)性能力：

1. 數(shù)據(jù)采集

所有數(shù)據(jù)都與安全相關(guān)。數(shù)據(jù)是現(xiàn)代安全運(yùn)營(yíng)中心的生命線，分析和算法離不開數(shù)據(jù)。因此安全運(yùn)營(yíng)中心應(yīng)具備從任何來源(結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù))大規(guī)模攝取數(shù)據(jù)的能力，同時(shí)，還需要能夠管理這些數(shù)據(jù)，以便為機(jī)器或人員所用。

2. 威脅檢測(cè)

一旦安全威脅因素進(jìn)入公司業(yè)務(wù)系統(tǒng)，安全運(yùn)營(yíng)中心能夠檢測(cè)該事件至關(guān)重要。在這種情況下，檢測(cè)側(cè)重于安全事件，而傳統(tǒng)解決方案?jìng)?cè)重于文件或網(wǎng)絡(luò)流量。安全運(yùn)營(yíng)中心需要能夠結(jié)合多種技術(shù)，比如關(guān)聯(lián)規(guī)則、機(jī)器學(xué)習(xí)和數(shù)據(jù)分析，以便實(shí)現(xiàn)更好的安全事件檢測(cè)能力。

3. 風(fēng)險(xiǎn)預(yù)警

假設(shè)安全團(tuán)隊(duì)在發(fā)現(xiàn)安全事件前30分鐘收到警報(bào)，很多損失將可以被有效避免。預(yù)測(cè)安全事件的能力可以讓安全運(yùn)營(yíng)中心主動(dòng)將事件上報(bào)給人員，或通過預(yù)定義的流程簡(jiǎn)化響應(yīng)。新興的預(yù)測(cè)技術(shù)有望為分析師提供早期預(yù)警，并在未知事件成為更大的風(fēng)險(xiǎn)之前識(shí)別它們。

4. 自動(dòng)化運(yùn)營(yíng)

在安全運(yùn)營(yíng)中心的發(fā)展過程中，自動(dòng)化不再可有可無，而是一種不可或缺的工具。自動(dòng)化是幫助安全分析師的新技術(shù)之一。通過自動(dòng)化功能，過去需要30分鐘完成的流程現(xiàn)在可以在短短40秒內(nèi)完成，這使安全運(yùn)營(yíng)中心可以處理更多事件。

5. 能力編排

企業(yè)在構(gòu)建安全運(yùn)營(yíng)中心時(shí)，很可能購(gòu)買了數(shù)十種產(chǎn)品來加強(qiáng)運(yùn)營(yíng)。這些工具都有其特定的用途，并添加到防御體系中，但它們往往無法及時(shí)更新，以跟上不斷演變的威脅。安全運(yùn)營(yíng)中心用來追蹤威脅的產(chǎn)品需要緊跟基于API的網(wǎng)絡(luò)環(huán)境，此時(shí)，編排就有了用武之地，編排便于插入和連接安全運(yùn)營(yíng)中心內(nèi)外的每個(gè)組件。

通過編排，安全人員再也不需要為每個(gè)產(chǎn)品打開新的瀏覽器選項(xiàng)卡，或使用不同的單點(diǎn)解決方案來登錄，而且無需從不同的解決方案復(fù)制和粘貼。編排所有產(chǎn)品的能力可以消除開銷、減少了挫折感，并幫助安全分析師將精力集中在重要任務(wù)上。

6.知識(shí)庫(kù)積累

并不是所有的威脅事件，都可以通過技術(shù)手段來發(fā)現(xiàn)和解決。因此，運(yùn)營(yíng)平臺(tái)需要告訴分析師下一步該做什么，現(xiàn)代安全運(yùn)營(yíng)中心通過知識(shí)庫(kù)積累就能做到這一點(diǎn)，這表現(xiàn)為建議具體的行動(dòng)或戰(zhàn)略手冊(cè)。這有兩大好處：教新的分析師在遇到類似威脅時(shí)該怎么做，并讓有經(jīng)驗(yàn)的分析師進(jìn)行完整性檢查，或提醒該做什么。

7. 事件調(diào)查

預(yù)計(jì)大部分的一級(jí)(tier-1)分析工作將在不久的將來實(shí)現(xiàn)自動(dòng)化，但所有其他工作會(huì)有什么變化?這勢(shì)必需要詳細(xì)精準(zhǔn)的人工分析補(bǔ)齊最后一塊短板。直觀的安全工具有助于提升分析師的處理能力，并幫助他們?yōu)樾枰{(diào)查的內(nèi)容確定優(yōu)先級(jí)。

8. 團(tuán)隊(duì)合作

安全是一項(xiàng)需要協(xié)調(diào)、溝通和協(xié)作的團(tuán)隊(duì)工作。安全運(yùn)營(yíng)中心環(huán)境中不能有任何疏忽，需要對(duì)安全事件進(jìn)行全面處理，團(tuán)隊(duì)需要聊天運(yùn)營(yíng)(ChatOps)功能，即能夠相互協(xié)作，將工具、人員、流程和自動(dòng)化連入透明的工作場(chǎng)所。這使信息、想法和數(shù)據(jù)處于最顯眼的位置。它使安全團(tuán)隊(duì)能夠更好地協(xié)作，并邀請(qǐng)企業(yè)外部的專家?guī)椭删瘓?bào)，與同行共享情報(bào)信息，并最終與組織外的安全專家協(xié)作，以阻止廣泛的威脅。

9. 案例管理

就算企業(yè)安全團(tuán)隊(duì)已經(jīng)盡全力防止安全事故的發(fā)生，有時(shí)還是不可避免。當(dāng)安全事故發(fā)生后，安全團(tuán)隊(duì)需要確保自己有響應(yīng)計(jì)劃、工作流程、證據(jù)收集、溝通、文檔和時(shí)間表。這就是為什么案例管理已成為現(xiàn)代安全運(yùn)營(yíng)中心的一項(xiàng)核心能力。

10. 報(bào)告展現(xiàn)

擁有合適的報(bào)告工具可以幫助安全團(tuán)隊(duì)了解正在執(zhí)行的操作，并能夠準(zhǔn)確地衡量現(xiàn)狀和需要實(shí)現(xiàn)的目標(biāo)。不過，如今安全運(yùn)營(yíng)中心面臨的挑戰(zhàn)是依賴太多的平臺(tái)，因此幾乎不太可能獲得準(zhǔn)確的報(bào)告。