就安全运营中心 (SOC) 而言,我们的网络安全工具仅可企及工具使用者和 SOC 同行的水平。SOC 的关键作用是什么?我们雇用这些人员时应考察哪些资质?此外,您对网络安全职业有哪些期望?
了解更多有关 IBM 为何被选为全球和欧洲托管安全服务领导者的信息。
根据个人在 IBM Security 的 Managed Security Services SOC 的一些经验,我提供了以下一些有关全球 SOC 如何按需进行人员配备和组织的见解。
确保用人得当对于现代 SOC 的成功来说至关重要。公司 SOC 中的主要角色取决于公司计划的成熟度以及公司的规模和预算。
我在 IBM 工作时,所合作的客户都有一两位安全人员且这些人员在组织内都有多个“头衔”。我还和 SOC 老手一起工作,这些人都有自己的 24/7 全天候运营任务及固定的职责角色。
但是,我的大部分客户都介于这二者之间。他们聘用全职员工担任某些角色,并补充服务提供商以承担其他角色,比如负责提供全天候“实时检测”或作为“随时待命”的事件响应人员。
通常,角色以 SOC 的关键功能为中心:调查与分析、运营与维护、工程与架构、保护与防御、威胁情报,以及监督与治理。
调查与分析
这些角色响应触发器,比如警报或可疑事件。这些角色可以基于技术(比如主机),也可以基于网络或分层的技能/范围(比如“分层 1”、“分层 2”)。这些角色包括:
运营和维护
这些角色是工具日常管理的关键。典型的职责包括管理设备运行状况、故障排除、版本管理和策略管理。这些角色包括:
工程与架构
架构师和工程角色是推进和改进安全操作的关键。这些角色可以是关联工程师,负责编写新用例、收集和运行新日志。这些角色还可以是编写定制工具的开发人员,或是帮助推荐和实施新工具的集成架构师。这些角色包括:
保护与防御
这些角色在本质上往往是主动的,有助于在威胁实施者趁机利用安全漏洞之前将其识别并改善安全状况。这些角色包括:
威胁情报
在某些情况下,威胁情报是唯一的 SOC 功能。在其他情况下,威胁情报会与其他角色结合在一起。Intel 分析师负责跟踪威胁情况,包括可能以组织为目标的威胁实施者和活动。在大多数情况下,情报分析师与工程师和架构师密切合作,以确保提前部署恰当的的检测工具。
监督与治理
这些角色可以包括管理职位,以帮助制定策略、管理安全预算和保持合规性。这些角色包括:
随着网络安全行业的发展,SOC 内部的必要角色也发生了变化。我们正处于过渡期,各地的 SOC 都在力求从被动的、警报驱动的方法过渡到主动的“智能”方法,即向“SOC 2.0”迈进。
警报疲劳也是 SOC 员工中真正的驱动力。它加剧了长期人员配备和人员保留的挑战,也使人员短缺变得更严重。周而复始,SOC 在“雇用-培训-替换”的周期中不可自拔。随着职业选择的向上优质发展,SOC 要不断地通过分析师来完成培训。这是一个不可持续的周期。
因此,越来越多的公司想要识别日常任务并实现自动化。SOAR(安全编排、自动化和响应)平台的热度持续攀升,很多公司开始引入机器学习元素来进行初始警报分类。
尽管大部分先前 L1 分析师的工作已实现自动化,但其余警报仍旧需要深入的分析技能。这也会导致 SOC 内部角色的专业化得到提升,继而推动对更高价值技能的需求,为员工职业发展带来新机遇,同时也促进 SOC 整体向更成熟的方向发展。
作为招聘经理,我一般更看重个性特征而非技能,因为技能是可以教授的。举例来说,我会在聘用分析师时优先选择生性好奇而且有热情、有进取心的人。这对于我来说比熟知特定工具或平台更重要,因为这种特质证明一个人会在无论所用工具如何的情况下,都擅于进行分析和调查。我喜欢修补匠和实验者,尤其是那些已建立家庭实验室来检测和捣鼓恶意软件的应聘者会更受欢迎。
对于高层职位,我会挑选经验丰富且了解最佳实践方法的人。举例来说,要成为 Intel 分析师,就要先懂智能生命周期。通过研究行业框架(例如,MITRE ATT&CK),更好地了解对手的战术、技巧和程序。要争取获得高技术认证,比如进攻性安全认证专家或 GIAC 认证的事件处理人员。
就更高层次而言,专业化是关键。我们还要能够与其他利益相关者进行互动并有效地进行交流。一般来说,角色越高级,与客户的互动就越频繁。技术技能是必备的,但团队成员还必须能够以合理方式向客户传达复杂的安全信息,并使客户能够就如何使用有限的资源来最大程度确保安全来制定最佳决策。
最终,任何 SOC 的目标都是检测、分析和响应安全威胁。无论角色如何,SOC 的每个人都要始终牢记这一关键目标,为此我们必须营造高度协作化的环境。
对此,大家会在查看我们 SOC 处理的近期威胁时有深切体会。Maze 勒索软件就是一例。在数次交锋之后,我们的 X-Force 事件响应团队才逐渐了解 Maze 实施者是如何以泄露数据、删除备份、加密文件并挟持泄露数据来进行勒索的流程。他们的团队会在“耻辱之墙”上发布一些被盗的数据,来恐吓受害者付款。
当我们的事件响应团队发现更多此类活动时,我们的情报团队会对威胁实施者有更深入的了解。在此基础上,情报团队会将发现的信息告知威胁捕获人员,由其开始主动进行搜寻,继而传递给关联工程师,由其推出新检测工具,继而交予“实时检测”监视团队处理。这是现实的网络威胁循环。
现在即可访问 IBM 安全专区,探索构建更强大,更安全的 SOC 2.0 时代所需的技术。
作者简介
Miranda Ritchie
IBM Security 全球服务交付执行官
Miranda Ritchie 是 IBM Security 的全球服务交付执行官,负责管理全球分析团队,通过集中优质人才来解决问题,为 IBM MSS 客户提供高品质的威胁防范和检测服务。
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。