編輯搜圖

過去兩年，說服企業(yè)領(lǐng)導(dǎo)者認真對待網(wǎng)絡(luò)安全變得容易多了。從SolarWinds黑客攻擊，到疫情促使在家辦公蔚然成風(fēng)帶來普遍問題，越來越多的企業(yè)組織開始面臨更多的安全挑戰(zhàn)，企業(yè)高管也開始越來越關(guān)注企業(yè)網(wǎng)絡(luò)的安全性。

精心設(shè)計、精心維護且人員配備齊全的安全運營中心已經(jīng)成為現(xiàn)代企業(yè)組織必須依靠的安全防線，它是一個進行集中安全運維的地方，安全團隊通常全天候不間斷地監(jiān)控、檢測、分析和響應(yīng)網(wǎng)絡(luò)安全事件。企業(yè)組織要確保網(wǎng)絡(luò)安全，不妨認真審視一下自己的安全運營中心。

以下梳理了現(xiàn)代企業(yè)安全運營中心必須具備的10種基礎(chǔ)性能力：

1. 數(shù)據(jù)采集

所有數(shù)據(jù)都與安全相關(guān)。數(shù)據(jù)是現(xiàn)代安全運營中心的生命線，分析和算法離不開數(shù)據(jù)。因此安全運營中心應(yīng)具備從任何來源(結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù))大規(guī)模攝取數(shù)據(jù)的能力，同時，還需要能夠管理這些數(shù)據(jù)，以便為機器或人員所用。

2. 威脅檢測

一旦安全威脅因素進入公司業(yè)務(wù)系統(tǒng)，安全運營中心能夠檢測該事件至關(guān)重要。在這種情況下，檢測側(cè)重于安全事件，而傳統(tǒng)解決方案側(cè)重于文件或網(wǎng)絡(luò)流量。安全運營中心需要能夠結(jié)合多種技術(shù)，比如關(guān)聯(lián)規(guī)則、機器學(xué)習(xí)和數(shù)據(jù)分析，以便實現(xiàn)更好的安全事件檢測能力。

3. 風(fēng)險預(yù)警

假設(shè)安全團隊在發(fā)現(xiàn)安全事件前30分鐘收到警報，很多損失將可以被有效避免。預(yù)測安全事件的能力可以讓安全運營中心主動將事件上報給人員，或通過預(yù)定義的流程簡化響應(yīng)。新興的預(yù)測技術(shù)有望為分析師提供早期預(yù)警，并在未知事件成為更大的風(fēng)險之前識別它們。

4. 自動化運營

在安全運營中心的發(fā)展過程中，自動化不再可有可無，而是一種不可或缺的工具。自動化是幫助安全分析師的新技術(shù)之一。通過自動化功能，過去需要30分鐘完成的流程現(xiàn)在可以在短短40秒內(nèi)完成，這使安全運營中心可以處理更多事件。

5. 能力編排

企業(yè)在構(gòu)建安全運營中心時，很可能購買了數(shù)十種產(chǎn)品來加強運營。這些工具都有其特定的用途，并添加到防御體系中，但它們往往無法及時更新，以跟上不斷演變的威脅。安全運營中心用來追蹤威脅的產(chǎn)品需要緊跟基于API的網(wǎng)絡(luò)環(huán)境，此時，編排就有了用武之地，編排便于插入和連接安全運營中心內(nèi)外的每個組件。

通過編排，安全人員再也不需要為每個產(chǎn)品打開新的瀏覽器選項卡，或使用不同的單點解決方案來登錄，而且無需從不同的解決方案復(fù)制和粘貼。編排所有產(chǎn)品的能力可以消除開銷、減少了挫折感，并幫助安全分析師將精力集中在重要任務(wù)上。

6.知識庫積累

并不是所有的威脅事件，都可以通過技術(shù)手段來發(fā)現(xiàn)和解決。因此，運營平臺需要告訴分析師下一步該做什么，現(xiàn)代安全運營中心通過知識庫積累就能做到這一點，這表現(xiàn)為建議具體的行動或戰(zhàn)略手冊。這有兩大好處：教新的分析師在遇到類似威脅時該怎么做，并讓有經(jīng)驗的分析師進行完整性檢查，或提醒該做什么。

7. 事件調(diào)查

預(yù)計大部分的一級(tier-1)分析工作將在不久的將來實現(xiàn)自動化，但所有其他工作會有什么變化?這勢必需要詳細精準的人工分析補齊最后一塊短板。直觀的安全工具有助于提升分析師的處理能力，并幫助他們?yōu)樾枰{(diào)查的內(nèi)容確定優(yōu)先級。

8. 團隊合作

安全是一項需要協(xié)調(diào)、溝通和協(xié)作的團隊工作。安全運營中心環(huán)境中不能有任何疏忽，需要對安全事件進行全面處理，團隊需要聊天運營(ChatOps)功能，即能夠相互協(xié)作，將工具、人員、流程和自動化連入透明的工作場所。這使信息、想法和數(shù)據(jù)處于最顯眼的位置。它使安全團隊能夠更好地協(xié)作，并邀請企業(yè)外部的專家?guī)椭删瘓螅c同行共享情報信息，并最終與組織外的安全專家協(xié)作，以阻止廣泛的威脅。

9. 案例管理

就算企業(yè)安全團隊已經(jīng)盡全力防止安全事故的發(fā)生，有時還是不可避免。當(dāng)安全事故發(fā)生后，安全團隊需要確保自己有響應(yīng)計劃、工作流程、證據(jù)收集、溝通、文檔和時間表。這就是為什么案例管理已成為現(xiàn)代安全運營中心的一項核心能力。

10. 報告展現(xiàn)

擁有合適的報告工具可以幫助安全團隊了解正在執(zhí)行的操作，并能夠準確地衡量現(xiàn)狀和需要實現(xiàn)的目標。不過，如今安全運營中心面臨的挑戰(zhàn)是依賴太多的平臺，因此幾乎不太可能獲得準確的報告。