【每日一记10】+第6天+安全运营中心的优点和缺点

今天来说一下SOC（安全运营中心）的优点和缺点。:好棒:
那么什么是SOC呢？
安全运营中心（SOC）负责维护公司基础设施、应用和数据的安全的一个运营中心。

然而，SOC管理可能并非易事：即使在最好的情况下，当前存在的大量威胁和不断袭来的种种攻击，也会使维持安全变得困难重重。而在现实世界中，情况更加糟糕。面对新冠疫情规划和比之前更多的线上活动，由于要处理的数据量庞大，需远程办公的员工数量增多，以及长期存在的安全人才短缺状况，每个SOC团队几乎都疲于应付，压力山大。
而压力又会影响SOC团队的工作表现，降低其工作效率。一旦入站警报和数据的规模大到不堪重负，SOC可能就根本无法正常运转了。下面我们就来综合考虑一下SOC的优点、缺点和挑战。

有什么优点呢？
从更多源获取更多数据可改善SOC效能
IT安全团队运营通过SOC的方式，也就是从部署的安全产品获取并整合数据：从边界防火墙和IDS/IPS产品，直到Web应用防火墙（WAF）、网络监控和其他现有解决方案。安全信息与事件管理（SIEM）解决方案将来自不同产品的数据汇集在一起，理论上可帮助SOC分析师更快地调查潜在问题。
上述过程同样适用于今天的云应用。将数据集整合到一起，有助于团队查看潜在缺陷和遭到的攻击。但是，向云端迁移会产生更多数据：除了云基础设施自身的数据，各应用程序组件也将增多，而且寿命可能更为短暂。使用微服务构建应用，以及采用软件容器大规模托管应用，意味着数据量已大幅增长。所有这些数据都有助于更快洞察潜在的风险和攻击，从而提升公司企业应对威胁的能力。

有什么缺点呢？
缺点：处理数据需要依赖更多的人员和技能
面对这诸多数据，管理问题浮现：传统SIEM系统无法扩展，也不足以管理如此庞大的数据量。但云原生应用，如云SIEM，或许有所帮助。采用基于云的安全和监视工具跟踪云应用程序，意味着系统架构可以按需有效扩展。
有些应用不通过传统VPN访问，而是员工直接在云端远程使用。想要获得这些应用程序的数据，也并不容易。此类应用种类繁多，包括Office 365、Workday或Google Suite，更别提还有开发人员使用AWS、Azure和Google Cloud Platform（谷歌云平台）之类的了。所有这些服务都可能持有关键数据，但因设置不当而导致的任何错误配置，都可能引发数据丢失。想要获取此类信息并有效运用，就需要以全新方式收集信息。
然而，信息收集方面的问题更大，而且这与人员和技能相关，而非单纯的技术问题。由于团队目前没有足够的员工，警报响应也变得更加棘手：75％的受访企业报告称，需要三名或三名以上的安全分析人员，才能在入站当天处理完所有警报。除此之外，云原生应用和云安全领域也缺乏人手。寻找具备合适技能的人来填补现有职位空缺可能要花费数月时间，在此期间，现有SOC团队成员将承受更大压力。因此，为SOC分析人员设置合适的支持流程，帮助他们管理工作负载，就与技术投资一样重要了。

感谢分享

学习学习~

学习学习~

学习学习~

感谢分享