将 ROCs 放在 SOCs 之前 —— Qualys 对公共部门的建议

多年来，安全运营中心 (SOC) 一直为公共部门的网络安全团队提供了良好的服务，但它本质上是一种被动响应的工具。如今，为了不仅应对正在发生的安全事件警报，还要解决导致这些事件的根本风险，从而更高效且更经济地“执行”网络安全工作，这一工具亟需被更新的机制所取代。

Qualys 首席执行官 Sumedh Thakar 在五月底于华盛顿特区郊区举办的联邦政府 IT 领导者活动上表示了这一观点，并将新一代 SOC 定义为 ROC，其中字母 R 代表风险。

Thakar 认为，网络安全领域必须作出改变。“我们不能再采用过去那种每隔一到两周进行一次扫描，将这些扫描结果存放在硬盘中，然后由人手动筛查，最终再试图修复所有检测到的问题的方式——这种方法实际上并不成功，”他说。“继续沿用这种方法在未来根本行不通。”

他敦促首席信息安全官 (CISO) 不要再将大量精力投入到攻击面管理上，而应重新聚焦于风险面管理， 将风险管理定义为对可能给组织带来最实际损失的风险进行缓解或将其转嫁出去。

由于风险不可能降至零，因此关键在于确定并应对那些最有可能给组织带来损失的因素。

对于企业来说，最有可能产生的损失往往体现在以美元计的收入或利润数字上。然而，公共部门组织面临着更为复杂的挑战，因为它们对于“损失”的理解远超单纯的经济成本。

例如，Thakar 提到，公共部门应更加关注公众或一线人员的安全、国家安全、关键基础设施安全、经济稳定以及公共卫生等问题。他举例称，2022 年臭名昭著的 Colonial Pipeline 事件曾使美国大范围的加油站陷入瘫痪。

“对于大多数机构来说，关键在于将各项因素与可能对当前任务或计划产生潜在破坏性的风险相对应，”他说。

赋能公共部门网络安全团队

在将这一理念转化为公共部门采购者（无论其地理位置如何）的实际行动方面，Qualys 首席信息安全官兼安全解决方案架构高级副总裁 Jonathan Trull 以及产品管理副总裁 Mayuresh Ektare 表示，他们希望帮助公共部门的 CISO 在面对海量安全数据时，充分利用有限的资源。

Mayuresh Ektare 指出：“我们的主要客户每天不仅需要处理上百万，而是数以亿计的安全发现，人工逐一修补或缓解这些问题根本不现实。在这种情形下，风险运营中心的概念显得尤为必要。”

“面对有限的资源，如何准确地引导它们，以切实降低对机构影响最大的风险，是当务之急。”

Ektare 将运营 ROC 比作防御方在“和平时期”的一项活动，并指出，相较于更像战时指挥室的 SOC，这种模式更为适用。

曾在科罗拉多州担任网络安全职务长达 12 年并最终升任州 CISO 的 Jonathan Trull 表示：“如果当年我就具备这样的能力——持续聚合并标准化所有数据（无论采用何种标准），那将大有裨益。因为当时我们并没有规定使用哪种工具，完全是任由用户选择及其有效使用。但我当时最需要的是一个准确的全局视角，以每月向州长和立法机构汇报我们正在面临的风险，而这些都是当时缺失的。”

“对于客户来说，许多功能已经被内置在解决方案中。因此，在你试图在这些分散的环境中掌握全局时，我认为没有比关注 ROC 概念更好的选择了。” Trull 说道。