如何评估安全运营中心即服务

随着对云计算需求的日益增加,许多企业外购了一些安全运营中心(SOC)功能。因而,评估安全运营中心即服务是否是企业的最佳模式成为必要的事。

由于网络安全领域中新技术层出不穷,对术语的精确描述问题变得复杂。例如,在一种技术或攻击被发现后,就需要一个新的名称来与以前的名词区分开。

有时,有些术语和行话使问题更加复杂或模糊。安全专家们都熟悉某些厂商的语言,这种营销用的说辞可能使我们难以理解产品或服务的真正功能和运行方式。

有个相对较新的词——“SOCaaS(安全运营中心即服务)”。由于某些原因,这个词给安全从业者带来一些困惑。首先,安全从业者可能对 SOCaaS 与可管理的安全服务供应商(MSSP)、管理检测与响应(MDR)等其他模式的区别存在疑问。

其次,安全运营中心的角色和范围可能在不同的公司之间存在差异。哪些安全运营中心元素要包括到这些产品的服务部分?哪些不能?对于从业者来说,要知道 SOC 是否适合其安全项目是很难的。从业者甚至很难知道“安全运营中心即服务”是个新事物,或者该事物就是他们已知的某种技术的营销行话。

考虑到这些问题,下面讨论 SOCaaS 是什么,以及它与其他模式的区别,如何评估 SOCaaS 是否适合企业需求。

定义 SOCaaS

SOCaaS 指的是将安全运营中心的部分功能外包给外部供应商的一种基于服务的模式。SOCaaS 的主要动因是日渐增加的对云的使用。过渡到云意味着,与本地环境相比,告警、日志、网络信息等安全信息都可通过不同的渠道进行访问。

在云环境中,安全团队通过不同的机制获得不同层次上的不同信息。那么,安全团队如何将这些信息与来自本地或企业管理工具中的信息协调一致?这正是 SOCaaS 试图解决的问题。SOCaaS 利用自动化跟踪环境中的资源和异常来运行,它也可以进行阻截或发出告警来作为响应。这些工作可以通过一种完全自动化的方式完成,有时也可以交由人工审查从而找出虚假信息。

SOCaaS 重视的是监视传统安全运营中心的要素,而不是公司具体的运营要素。这正是 SOCaaS 不同于传统的 MSSP 的地方。MSSP(安全托管服务提供商)可能将监视作为其服务提供的一部分,但同时又往往包括许多本地安全工具的运营。

我们以完成这种监视所需要的源要素为例。其中可以包括本地安全工具的运维,如入侵检测系统和防火墙,以及从网络设备上收集信息的设备和从各种资源收集的日志等。MSSP 不仅会处理一部分监视功能,还往往承担着用以完成监视数据收集的物理基础架构的运维。

相比较而言,SOCaaS 以及 MDR 所提供的服务一般都利用分析、机器学习和其他工具或方法来简化检测过程。当数据收集工具是由不同种类组成并且对特定企业来说是唯一的时,这种简化就更为有效。

在这一点上,有些专业人士可能会认为 SOCaaS 听起来就像是 MDR。二者确实在有的方面都有重叠。与 SOCaaS 类似,MDR 往往利用机器学习和分析工具来帮助进行事件检测,并且往往可以进入多种客户环境(如云、本地等)来完成检测。要点在于供应商利用自己的工具和技术,可以提供检测和响应功能的规模效益,这比客户自己实现这些功能花费的更少。MDR 不像传统的 MSSP 模式,MDR 合作伙伴往往不直接管理或运营客户本地的 SIEM、IDS、网络行为异常检测或网络过滤等安全工具。

当然,并非所有的服务供应商或产品都是一样的。随着产品或服务不断开发以及各种角色的不断革新,很有可能出现一些重叠的方面。

如何评估 SOCaaS 是正确的选择

为评估最佳的服务,企业应当分析自己的需求。如果一家大型企业已经有了一家或多家 MSSP 关系,那么这些供应商就有可能以增量成本来支持监视。如果一家企业拥有明确界定的云环境,例如,大量使用一家供应商的 IaaS, 这种服务专门针对那种环境,因而这可能是一种不错的选择。企业可能选择与一家 MDR 企业合作从而有助于提升其响应能力。

决定哪种选择最佳要依赖于企业已经部署什么,企业期望完成的任务是什么,还有特定企业的影响任务完成方式的标准。

企业不妨从系统性地理解和分析安全项目期望实现的功能开始。其目标是强化检测功能从而改善检测结果吗?或者目标是降低监视成本、提高对云环境的可见性或是强化本地或是外部环境吗?回答这些问题可以使企业明白哪些类型的服务或供应商可能是最适合的。

在确定必要功能的简短清单时,企业应当做两件事情。首先,要求亲自参与。例如,如果企业选择执行渗透测试(可能 PCI DSS 要求这一步骤),就应当在渗透测试期间要求找一家 SOCaaS,以验证供应商如何执行测试。这有助于确认在交付中的任何不可预料的小问题。注意,并不是在每种情况下这都是一种选择,有些供应商可能有一些约束和要求,从而限制此步骤的可行性。

此外,安全团队可能不会仅仅为了测试一家特定厂商的能力而对其整个监视的基础架构进行交叉性升级。然而,供应商可能非常熟悉这类请求,所以供应商有经验帮助尝试评估的潜在客户。

最后,在评估一些承诺的的特性和供应商时,安全团队必须在使用供应商的服务期间、之前和之后都进行监管。正如安全团队为理解服务等级协议、变化的价格和性能而要监管云供应商一样,企业也必须确保了解特定的服务供应商是如何随着时间推移而运作的。