就安全操作中心 而言(SOC) 就我们的网络安全工具而言,只有企业和工具用户和 SOC 同行水平。SOC 的关键作用是什么?当我们雇佣这些人时,我们应该考察哪些资格?此外,您对网络安全行业的期望是什么?
个人在 IBM Security 的 Managed Security Services SOC 我提供了以下关于全球 的经验SOC 如何根据需要对人员配备和组织进行意见。
SOC 中的关键角色
确保现代 SOC 的成功至关重要。SOC 的主要作用取决于公司计划的成熟度、规模和预算。
我在 IBM 工作时,合作客户有一两名安全人员,组织内有多个人员“头衔”。我还和 SOC 老手一起工作,这些人都有自己的 24/7 全天候操作任务和固定的责任。
然而,我的大多数客户都在两者之间。他们聘请全职员工担任某些角色,并补充服务提供商担任其他角色,如全天候“实时检测”或作为“随时待命”事件响应人员。
通常,角色是 SOC 以调查与分析、运营与维护、工程与结构、保护与防御、威胁情报、监督与治理为中心。
调查与分析
这些角色响应触发器,如报警或可疑事件。这些角色可以基于技术(如主机)或网络或分层技能/范围(如“分层 1”、“分层 2”)。这些角色包括:
·安全分析师
·事件响应人员
·事件管理人员
运营和维护
这些角色是工具日常管理的关键。典型职责包括管理设备运行、故障排除、版本管理和战略管理。这些角色包括:
·设备管理员(防火墙、入侵防范系统、终端代理等)
·安全工程师
工程与架构
架构师和工程师的角色是促进和改进安全操作的关键。这些角色可以是负责编写新用例、收集和运行新日志的相关工程师。这些角色也可以是编写定制工具的开发人员,或帮助推荐和实施新工具的集成架构师。这些角色包括:
·开发人员
·安全架构师
·安全工程师
保护与防御
这些角色本质上往往是主动的,有助于在威胁实施者利用安全漏洞之前识别和改善安全状况。这些角色包括:
·威胁捕获者
·漏洞管理人员
·渗透测试人员
威胁情报
在某些情况下,威胁情报是唯一的 SOC 功能。在其他情况下,威胁情报将与其他角色相结合。Intel 分析师负责跟踪威胁,包括威胁实施者和可能针对组织的活动。在大多数情况下,情报分析师与工程师和架构师密切合作,以确保提前部署适当的测试工具。
·威胁情报分析师
·威胁研究分析师
监督与治理
这些角色可以包括帮助制定策略、管理安全预算和保持合规的管理职位。这些角色包括:
·合规官
·安全意识和培训专业人员
·SOC 经理
·首席信息安全官
SOC 角色的变化
随着网络安全产业的发展,SOC 内部的必要角色也发生了变化。我们正处于过渡期,各地的 SOC 都在努力从被动和警报驱动的方法过渡到主动“智能”方法,即向“SOC 2.0”迈进。
报警疲劳也是 SOC 员工的真正驱动力。它加剧了长期人员配备和人员保留的挑战,使人员短缺更加严重。一遍又一遍,SOC 在“雇用-培训-替换”周期不能自拔。随着职业选择的高质量发展,SOC 通过分析师不断完成培训。这是一个不可持续的周期。
因此,越来越多的公司希望识别日常任务并实现自动化。SOAR(安全安排、自动化和响应)平台的热度继续上升,许多公司开始引入机器学习元素进行初始报警分类。
尽管大多数以前都是 L1 分析师的工作已实现自动化,但其余警报仍旧需要深入的分析技能。这也会导致 SOC 提高了内部角色的专业化,进而促进了对更高价值技能的需求,为员工的职业发展带来了新的机遇,也促进了 SOC 向更成熟的方向发展。
SOC 2.0 时代招聘
作为一名招聘经理,我通常更关注个性特征而不是技能,因为技能可以教授。例如,我将优先考虑那些好奇、热情和进取的人。这对我来说比熟悉特定的工具或平台更重要,因为这证明了一个人擅长分析和调查,无论他使用什么工具。我喜欢修理工和实验者,尤其是那些建立了家庭实验室来测试和制造恶意软件的人。
对于高级职位,我会选择经验丰富、了解最佳实践方法的人。例如,要成为 Intel 分析师首先要了解智能生命周期。研究行业框架(例如,MITRE ATT&CK),更好地了解对手的战术、技能和程序。争取高科技认证,如攻击性安全认证专家或 GIAC 认证事件处理人员。
在更高层次上,专业化是关键。我们还应该能够与其他利益相关者互动,并有效地沟通。一般来说,角色越先进,与客户的互动就越频繁。技术技能是必要的,但团队成员还必须能够以合理的方式向客户传达复杂的安全信息,使客户能够就如何使用有限的资源来最大限度地确保安全做出最佳决策。
现实案例:Maze 勒索软件
最后,任何 SOC 的目标都是检测、分析和响应安全威胁。无论角色如何,SOC 每个人都必须始终牢记这一关键目标,因此我们必须创造一个高度合作的环境。
对此,大家都会查看我们 SOC 对最近的威胁有着深刻的理解。Maze 勒索软件就是一个例子。经过几次对抗,我们的 X-Force 事件响应团队逐渐了解 Maze 实施者如何勒索泄露数据、删除备份、加密文件和持有泄露数据。他们的团队将在“耻辱之墙”发布一些被盗数据,恐吓受害者付款。
当我们的事件响应团队发现更多此类活动时,我们的情报团队将对威胁实施者有更深入的了解。在此基础上,情报团队将通知威胁捕获者发现的信息,然后传递给相关工程师,推出新的测试工具,然后交给“实时检测”监控团队处理。这是一个真正的网络威胁循环。
作者简介
Miranda Ritchie
IBM Security 全球服务交付执行官
Miranda Ritchie 是 IBM Security 全球服务交付执行官负责管理全球分析团队,集中优质人才解决问题IBM MSS 客户提供优质的威胁预防和检测服务。
*现在可以访问 IBM探索建设更强大、更安全的安全区 SOC2.0 时代所需的技术。
推荐 历史精彩文章>>>
*2021 SIEM 看趋势:如何选择安全分析供应商
关于 IBM Security>>>
IBM Security 是 IBM 信息安全解决方案和服务部门在全球和地方各行各业都有多年的客户深度培养经验。IBM Security 保护全球500强企业和组织95%的信息安全,客户覆盖金融、医疗、汽车、科技、电信、航空等行业的公司和集团,包括49家最大的金融和银行机构,15家最大的医疗机构,15家最大的科技企业。IBM Security 在 Gartner、Forrester、IDC 与其他机构发布的12份不同的分析报告中,有12项技术解决方案被列为行业领先者。