如何SOC坏人呢

安全运营中心是一个企业成为必备。

Eamus哈尔平的警钟是监狱有虫吃。直到它击中,他完全依赖端口屏蔽保护企业网络攻击和入侵。后他看到了网络监狱大屠杀造成世界各地,哈尔平知道他不得不修改公司的网络安全方法。

“我碰巧与微软当时在西雅图的一个NDA事件,有人害怕我什么可以发生在一个港口blocking-based网络受到监狱,”哈尔平回忆,iRevolution首席技术架构师,在伦敦的托管服务提供商。尽管iRevolution网络免受蠕虫病毒的直接命中,哈尔平知道刚刚运气。“我花了三个小时研究蠕虫的含义,和我的头发变白了。我们是开放的瑞士奶酪,”他说。

尽管iRevolution已经基本到位,防火墙、杀毒软件、入侵检测系统(IDS)——它没有办法把警报从这些各种安全工具来构建一个逻辑网络的安全健康的照片。

“一切都是单独养护和管理。他们没有说话,也没有给我们一个商业温度为企业作为一个整体,”哈尔平说。偶尔“所以我们可以看到,我们被一种特定类型的病毒袭击了通过电子邮件,但我们无法真正决定大的问题是如何在大计划的事情。”

哈尔平当场决定做一个完整的安全检修。他的目标是建立和维护一个世界级的安全操作中心(SOC) iRevolution的内部网络,以及帮助客户。

正如网络运营中心(NOC)持续监测网络,以减轻故障,确保最优性能,soc不断监视和管理范围的安全设备和维护和确保整体网络安全事件。专家说soc越来越普遍公司出于各种原因,特别是因为安全已经从一个学科基于点解决一些更为普遍和整体网络健康的关键。

“过去有意义有安全专家管理各种防火墙、IDS等等因为安全在一个非常具体的位置在您的网络和有一个非常特定的功能,”安德烈亚斯Antonopoulos解释道,在Nemertes Research高级副总裁兼创始合伙人。“但安全不再是这样。周长是多孔的,相反,在应用程序级别应用的安全需求,在网络层和存储水平。它成为一个端到端应用程序交付的特性,就像网络性能。”

监管压力带来的萨班斯-奥克斯利法案(SOX),健康保险携带和责任法案,也驱使企业SOC发展。《金融服务现代化法案》

“袜是一个很好的例子,soc的积极的司机,”戴安娜凯利说,电脑协会的执行安全顾问eTrust部门。“你必须准备好404年,”她说,指的是部分袜,解释说,行政管理需要负责建立和维持一个适当的内部控制结构。“这意味着你需要正确的和有效的控制你的业务报告。一旦你让他们,您需要监视和维护他们,SOC是一种有效的方式。”

根据Nemertes初步研究,美国平均组织计划今年的安全预算100%,从IT预算的2.4%到4.8%——增加Antonopoulos属性几乎完全合规。“我可以告诉你,加倍他们的预算做的所有这些公司合规正在考虑建立一个SOC或再造SOC遵守规定,”他说。

拉回安全的趋势监测职责之前外包管理安全服务提供商(MSSP),特别是在金融服务行业,“火上浇油”。内部SOC允许更好地控制和企业网络的可见性,并降低整体成本,说吉姆舵柄,首席安全官和副总统的安全服务在国际网络服务、网络咨询公司。

“MSSPs很难反应在某些情况下,“蒂勒说。“蠕虫和拒绝服务攻击的经常出现,特别是在金融行业,和我们的脆弱性和复杂性的增加这些威胁,反应能力是严格与你有多少可见性在你的网络。通过把管理,你有更多的可见性和能促进反应能力。”

+”,对大公司来说,投资管理安全服务相当重要,他们看到长期的成本/收益对于拉动内部和管理它自己,”他说。

的障碍

虽然认识到需要一个SOC是相当简单的,建设一个并不那么简单。尤其如此,当安全和网络运营组织独立成长。安全监视可能是健壮的,但如果是独立于网络运营监控,可以是一个灾难,专家说。

“安全事件并不总是出现安全事件、“Antonopoulos说。例如,如果一个路由器停止响应你的所有信息,很难判断这是一个网络问题,系统问题或安全问题。如果你的网络运营组完全独立于安全操作组,会发生两件事之一:“两组将分别追这个问题,或者更糟的是,追逐它,也不会认为这是另一组的问题,”他说。

这种混乱是补救加剧了的时候。“如果两个组织正在实施的网络和监控它,你可能会在网络人改变(访问控制列表),减少您的安全,或您的安全是影响网络性能的应用acl,”他说。“既然你不整合,从端到端角度来看,你最终得到的问题。”

真正的SOC集成安全和网络事件信息的安全和操作人员有一个事件的整体视图,它对网络的影响,并能做出明智的决定如何最好的反应根据预定义的安全策略。但这是说起来容易做起来难。

从哪里开始

许多组织第一次购买一个安全事件管理系统或警报关联引擎。但是专家说这是一个战术上的错误。全面风险评估,确定实际的业务每个网络资产的重要性,必须首先在SOC项目。

“你必须使用你的资源保护对你来说最重要的事情,”约翰·萨默斯说全球优利系统管理安全服务主管。“一些高层有一个很好的处理他们的基础设施。他们知道什么资产,什么是运行在每个IP地址,但很少可以标签业务优先级基础设施元素。”

了解业务的重要性是关键,因为SOC的目的不仅是使安全事件监控但也有信心对这些事件的反应。“如果这台服务器宕机,什么意思,这是服务器比另一个更重要?一旦你知道,技术往往会落入地方,”萨默斯说,他管理着优利系统”三大出类拔萃。

技术说明

接下来选择一个技术平台。我们的目标是找到一个安全事件管理平台,可以使用各种安全设备,相关各种警报,提供某种形式的集成与无论您使用的是麻烦票务和网络运营管理。组织需要这种深度的可见性网络搜出安全漏洞,专家说。

“一家大型金融服务公司与我们合作是看到一些戳在不同领域的全球网络,“CA的凯利说。“每一个会没有单独看起来特别糟糕,但他们都是来自同一个IP地址在几天。其中没有一个是自己足以引发警报,但一旦公司把信息集中控制台(在SOC),看到这个IP地址在做什么它的全球网络,事情开始增加。”

然而,让你可以有这样的一个全球观点在SOC是耗时和昂贵的。

除了集成安全事件经理等初创公司ArcSight Intellitactics netForensics,大多数大型网络管理公司- CA,惠普和IBM——提供了一个安全事件监控功能集成在他们的平台。但他们都相当高昂的代价。

“在安全空间,采用一般不讲同一种语言,你的管理系统,防火墙,”Nemertes Antonopoulos说。“如果你想一个规则添加到您的防火墙阻止,你不能用同一种语言在路由器中使用添加规则。因此,安全事件监控器需要大型集成项目将所有这些信息,把它变成一个通用格式和关联这跨所有域。”