现在，您可以外包而不是内部构建的公共设施是SOC（安全运营中心）。但是你应该委托第三方来保管吗？是的，但要确保你知道如何挑选最好的。什么是SOC？SOC代表安全运营中心，在公司或其他实体内，它是一个集中的单位，负责监督员工、技术和程序，以确保所有安全措施到位。首先，它旨在避免网络攻击，识别和评估它们是否发生，并准备事件响应。为了正确跟踪运动并能够识别任何异常，SOC必须知道组织内记录的每个事件。在当今这个充斥着各种网络威胁的数字化世界里，SOC服务似乎会左右你企业的未来。为什么SOC很重要？一个新的、多元化的组织需要对其网络安全保持警惕。最近的数字据说（平均）约318万英镑，数据泄露可能代价高昂，声誉损害更难（或不可能）恢复。黑客可以在任何时候从世界任何地方进行攻击，这意味着公司必须全天候处于安全状态。在威胁对他们所跟踪的公司造成危害之前，SOC和背后的专业安全分析师对于维护良好的安全和防止威胁至关重要。安全运营中心（SOC）是一个中央单位，它通过使用人员、流程和技术来监督企业的安全。其概念是通过在一个中心位置收集数据，使用最新技术分析数据，并对训练有素的安全分析师提出的任何警告和异常情况进行研究，从而识别和抵御网络威胁。任何规模的组织都容易受到网络攻击，随着网络犯罪分子使用越来越先进的黑客工具，安全问题变得越来越困难。因此，各组织都在寻求新的方案和服务，以保护自己免受网络威胁，与安全运营中心整合越来越普遍。SOC是如何工作的？通常，SOC的员工和技术都被安置在一个中心位置，在那里有不同程度经验的员工，例如分析师、响应者和猎手，全年24小时不间断地工作。SOC似乎非常受流程驱动：它们有标准的操作程序、使用案例和剧本，以描述SOC工作人员如何应对网络安全中的不同事件和事件并与之交互。除了实时审查用户报告和数据馈送外，SOC还可以包括以下内容：长期分析数据源和事件数据；安全日志规范化和存储；传播有关威胁的情报；编排和自动化；检测或管理漏洞（例如，漏洞扫描和修复）。威胁评估；以及出于以下一个或多个原因，组织可考虑将其所有或部分SOC服务外包给SOC服务提供商：无法招聘到具有所需技能的合适的SOC员工；希望通过让合格的专家从现有的网络安全产品中处理它们来实现更大的价值；由于企业的威胁环境或商业模式的变化（例如合并电子商务）而要求快速扩展SOC服务；优先或有义务将预算资金用于网络安全运营费用（"租赁"SOC服务），而不是资本支出（购买SOC设备和雇佣员工）；应用从监控多个客户获得的第三方威胁情报的能力；以及战略决策由第三方做出，以提供更简单、重复的活动，如初始日志审查，以便SOC工作人员能够集中精力完成高级任务，如事件响应或脆弱性管理。假设是，基于上述所有原因，SOC服务提供商将能够比组织本身更高效或更低成本地提供基本SOC服务。SOC需要考虑的特性-SOC供应商可提供以下内容：监控或管理防火墙或统一威胁管理技术；入侵检测系统（IDS）和入侵预防系统（IPS）跟踪或管理；管理或监控网络和电子邮件安全网关；监测或管理新出现的威胁防御技术；对可能发生的网络安全事件（如设备日志和来自应用程序和信息系统的通知）的实时数据源进行分类和短期审查；跟踪或管理设备相关数据和事件响应的长期审查和关联；对软件和信息系统进行规定的漏洞扫描；监控或管理客户部署的SIEM技术；以及提供有关威胁的情报。如上所列，SOC服务提供商提供了几种对贵公司SOC有用的功能。但由于服务范围之广，这可能会让人望而生畏。开始评估SOC提供商的一个方法是使用两个简单的度量来确定对您的业务最重要的服务。在注册威胁情报等专业服务之前，请确保您充分处理和跟踪当前的网络安全计划。例如，如果该公司还不清楚其网络安全计划的进展情况，就很难获得威胁情报的优势。你应该准备好做一个重要的决定，是只跟踪一个SOC服务提供商（例如，从你组织的任何或所有网络安全系统收集日志）还是控制一些网络安全系统（如防火墙或SIEM）。公司的安全策略和风险承受能力将决定这一点。通过使用SOC服务提供商，您组织的SOC负担可以减轻，但公司仍需要确定和分配计划管理资源，以使SOC供应商保持在正轨上并评估其持续有效性。无论您从SOC服务提供商选择什么服务，都要查找以下功能特性：SOC供应商应提供具有多因素身份验证和基于角色的访问控制的客户web门户。该平台应具有分析和图形、实时警报、SOC服务提供商的票证状态以及可针对不同类别用户（经理、SOC员工等）定制的报告。供应商应能够在一年内提供所需的服务，提供不同的联系方式，如电话和电子邮件，并向适当的客户员工证明其对迅速升级的关键事件和事故的了解。SOC服务应纳入贵组织的安全事件响应中。为了确保冗余和从灾难中恢复的能力，SOC应至少从两个地理位置分散的位置提供请求的服务。SOC服务提供商应在贵公司对员工进行培训，了解他们正在跟踪或处理的基本网络安全技术。验证SOC服务提供商是否能够保证所请求的服务仅从特定（如美国）地点提供（如有必要），以符合要求。选择使用SOC服务提供商是一个重要的商业决策；您希望有一个好的、可靠的合作伙伴，所以要寻找关键的业务特征，例如证明该提供商财务稳定、客户保持率高。在结果不佳的情况下，SOC提供商应提供有保证的基于性能的服务级别协议，其中包括终止服务的权利。当然，在您的特定领域，提供商应该已经建立了经验和知识。您还应该能够合理配置所提供的SOC服务；公司不应该强迫自己采取一刀切的操作。使用SOC服务提供商可能意味着交换机密数据或向提供商提供对贵公司某些信息系统的访问。为了避免网络安全事件和执法漏洞，至少需要以下安全功能：SOC服务提供商应使贵公司能够对其网络安全程序进行尽职调查。例如，在您与服务提供商的合同中，您应该能够添加一项检查网络安全实践条款的权利，并要求他们填写一份关于网络安全实践的检查问卷。SOC服务提供商应至少每年进行一次第三方网络安全审计以及内部和外部渗透测试。至少有一个公认的网络安全规范应得到SOC服务提供商的认证，如PCI DSS、联邦风险和授权管理计划和ISO 27001，并对SSAE16（认证活动要求声明16）进行例行审查。通过加密的方法，如TLS 1.1+，SOC服务提供商应该能够接收和提交来自您的组织的数据。SOC的未来一个令人兴奋的过渡正在安全操作中心进行。它与作战和发展部门互动，并由强大的新兴技术驱动，以识别和应对重大安全事件，同时保持其传统的指挥结构和职能。我们展示了SIEM如何成为一种基本的SOC技术，以及下一个十年的SIEM如何像行为分析、机器学习和SOC自动化等新兴功能一样，为安全分析人员开辟了新的可能性。下一代SIEM对SOC的影响可能是显著的：使用用户-实体行为分析（UEBA）最大限度地减少警告疲劳，这超出了相关规律，有助于减少误报和发现隐藏的威胁。增强MTTD