SOC四大弱点分析

导读	今年的年度安全运营中心(SOC)调查中，SANS研究所指出了4个最为常见的SOC弱点。这些弱点的根源可被追溯到我们非常熟悉的人、过程、适度规划和技术实现上。下面我们就来看看SOC的四大弱点究竟是哪些，安全团队又能对此做些什么。

大多数情况下，SANS调查中受访者最为困扰的安全运营中心相关问题，是可以通过计划、策略和流程的正确组合来解决的。

今年的年度安全运营中心(SOC)调查中，SANS研究所指出了4个最为常见的SOC弱点。这些弱点的根源可被追溯到我们非常熟悉的人、过程、适度规划和技术实现上。
下面我们就来看看，SOC的四大弱点究竟是哪些?安全团队又能对此做些什么呢?

1. 自动化/编排

大多数SOC的自动化和编排程度都不高，因为SOC团队不知道应该自动化哪些过程。公司企业的员工是第一道防线。可以从采访SOC人员以了解他们的职责和发现可重复过程开始，比如IP/URL信誉、whois信息等事件证据的繁琐收集过程。这些过程由人来做很耗时间，但却很容易自动化。
下一步，进行风险评估和安全评估以识别资产和漏洞，提供监测安全监视效率的指标。这些数据点有助于暴露出能够自动化的可重复过程。
安全工具间缺乏集成也是自动化和编排的阻碍。由于公司企业采用多层防御来抵御多线程攻击，安全团队往往缺乏对自身产品架构和相互间如何协同工作的清晰认知。
不幸的是，这个问题并不好解决。有些替代方案包括执行概念验证(PoC)和鼓励安全供应商多了解公司的具体环境。这么做可以让SOC评估新产品，发现漏洞，在部署之前将错漏都纠正过来。
最后，缺乏恰当过程和操作手册的SOC通常其安全项目的成熟度也不高。对于这些公司，与托管安全服务提供商或托管检测及响应服务合作是不错的选择。

2. 资产发现与库存管理

资产库存与管理很难。即便有自动化工具帮忙，该任务对技术团队而言仍是个沉重的负担，尤其是在最初的时间及精力的前期投入上。当今这个讲求即时满足的世界，大多数公司企业都希望只要投入某个工具，马上就能看到业务过程的加快。但鉴于IT环境和技术的动态本质，SOC团队往往不得不撸起袖子亲自下场干活，工具的效率提升效果并不太高。
任何资产管理项目都要求良好的规划和对环境的完全理解。如果缺乏这些关键步骤，任何工具都不会达到预期。对公司环境做个风险及安全评估是个良好的开端。漏洞评估的发现阶段将产出能作为起点使用的基线。但需要记住的是，安全领域不存在通用解决方案，公司企业应预期资产管理解决方案实现过程中的挫折与反复。不过，一旦正确部署，便能享受源源不断的长期红利。

3. 人工事件关联

听起来似乎有点反直觉，但确实是个不错的解释。部署SIEM并不是按个开关再指定几个日志源那么简单的事。公司企业必须了解自身日志源和这些源所提供的整体可见性。
为获得这一可见性，网络审计是必不可少的步骤。审计结果可以发现应设置网络分接器的位置、应保持通联的设备，还有应避免的漏洞或阻碍。Web代理屏蔽或DHCP短租约之类的阻碍可能会导致调查人员无法定位潜在受害者，限制公司SIEM执行恰当的事件关联动作。了解这些漏洞和SIEM的限制可以帮助SOC更好地摸清仍需人工关联的地方。

4. SOC/NOC融合

这一缺陷是个文化问题。SOC团队的任务是检测和防护，而网络运营团队(NOC)的任务是保持正常运行和系统可用性。两个团队之间经常发生冲突。比如说，长久以来的最小权限冲突。NOC团队希望掌握畅行无阻的高权限。SOC团队则致力于封锁环境以发现可能标志着恶意行为的异常。
更糟的是，两支团队通常都人手不足，维护网络可用性和保护网络安全的相关责任堆成山。为弥合这一缺口，公司企业可以施行明确了SOC和NOC团队间冲突解决规则的过程及程序，让两个部门都有清晰的指导方针可供互动。
有了合适的规划和部署，再辅以正确的过程及程序，大多数公司企业都可以跨越SOC弱点。至于缺乏适当资源或安全项目成熟度不足的公司，托管安全服务提供商或托管检测及响应服务都是不错的选择。