​如何寻找合适的 SOC 供应商？-51CTO.COM

多年来，安全运营中心 (SOC) 随着威胁形势的变化而不断发展。它曾经是政府和军队组织的专利，如今越来越多地被推荐给各种规模的企业，甚至包含中小企业。然而，建立一个专门的团队和设施来全天候监控威胁并不容易。可能会面临技能和资金的短缺。这就是为何许多公司将这些责任交给受信任的第三方的原因。然而，决定外包只是第一步，接下来才是困难的部分——选择合适的供应商。

事实上，并非所有托管 SOC 产品都一样。寻找合适的合作伙伴是一场比许多人意识到的风险更高的游戏。一旦弄错了，网络风险和成本可能会迅速失控。

网络攻击不断

投资 SOC 的主要驱动力是可预测的。近年来，网络威胁的数量和复杂程度都在飙升。这在勒索软件领域最为明显，网络犯罪的创新导致了“即服务”产品的使用，使广泛的附属组织拥有了攻击能力。去年，勒索软件被视为英国人民的最大在线威胁。

尽管在安全方面投入了大量资金(据估计，去年安全方面的投资激增了60%)，但黑客入侵仍在继续造成重大的财务和声誉损失。根据政府数据显示，去年有五分之二(39%)的英国机构遭受过数据泄漏或网络攻击，其中中型企业和大型企业分别达到59%和72%。

由于暗网上流传着大量被破坏的凭证（估计有 270 亿个），威胁参与者可以直接访问目标网络而不会引发任何警报。如果不能直接访问，他们可以利用去年发布的 2万多个漏洞，或者许多前几年仍未修补的漏洞。更有甚者，他们可以支付初始访问代理费用来为他们出力。

并非一帆风顺

这种复杂的威胁形势意味着基于预防的安全性有其局限性。面对坚定的对手并肩负着要防御大型企业攻击面的任务，没有任何组织可以 100% 抵御攻击。这将使更多的注意力放在检测和响应上：在漏洞成为严重事件之前发现和解决漏洞。这就是安全运营 (SecOps) 和 SOC 的工作。

然而，也存在持续的挑战。首先要找到足够的人才来运营 SOC。整个行业的人才缺口达 270 万​，而 SOC 分析师可以说是最难找的。由于警报过载带来的压力和倦怠，许多人计划退出，但这对他们并没有什么帮助。这通常归结为糟糕的工具输出数据和误报，无法对信号进行优先级排序。

这导致了另一个挑战：技术投资的成本。组织必须找到合适的工具组合，以提供分析师所需的洞察力，但是在竞争激烈的市场中这并不容易做到。SIEM 可能很有用，但通常需要不断调整才能有效，而许多 SOC 团队没有时间或资源来做到这一点。选择在内部执行 SecOps 的组织的财务负担正在增加。根据一项研究显示，由于管理的复杂性，超过一半的组织的感知投资回报率正在下降。同一份报告称，安全工程成本每年攀升至 300 万美元，但只有 51% 的人认为这些努力是有效的。

外包 SOC 有何意义

因此，越来越多的公司决定将其 SOC 功能完全外包。这使他们能够将技能问题转移给专门的组织，该组织拥有更多资源来寻找最聪明和最优秀的人才。它还消除了对设备和持续维护的昂贵前期投资的需要，并支持更高的运营敏捷性，比如如果组织决定需要新的检测和响应能力。

据估计，托管 SOC 市场在未来五年内将以近 11% 的速度增长，到 2027 年将达到 100 亿美元。但在一个快速增长的市场中，虽然有越来越多的选择，并非所有的都适合。重要的是要找到一个供应商，它不仅拥有支持客户扩展的资源，而且拥有一套正确的多层工具来正确完成这项工作。

这些工具应包括检测和响应工具，如 SIEM、EDR、日志管理、文件完整性监控和威胁查找。这些工具的综合力量甚至可以清除隐蔽的威胁。恶意行为者通常使用合法工具来隐藏在网络中。通过了解这些行为，SecOps 团队可以更清楚地确定何时发生网络入侵。此外，如果数据被窃取并发布在暗网上，暗网监测可以提供有用的入侵预警系统，而漏洞监测可以帮助阻止强大的攻击媒介。

最重要的是，组织需要找到一个超越典型的托管 SOC 商业关系的合作伙伴，更像是内部安全团队的延伸。他们应该提供全天候的保护、专门的客户服务以及持续的反馈和报告。这不仅能让客户放心，他们的运营是安全的，而且还能提供关键情报，可用于增强未来的网络弹性。

原标题：HowTo: Find the Right SOC Provider

作者：Rick Jones

链接：https://www.infosecurity-magazine.com/opinions/find-right-soc-provider/