自Nemertes首次写集事件响应逻辑以来已经17年并计数:将安全操作中心与网络操作中心聚集到组织、操作和技术层次毋庸置疑,大多数组织都没有实现这一点,尽管在事物的监控和数据管理方面出现了朝向趋同的有希望趋势。值得重温这个问题
何必归并
求同存异的论据仍然相当有说服力
- NOC和SOC都集中关注组成IT环境的系统和服务定位理解异常并定位和响应可能影响或正在影响企业服务的事件
- 两者都侧重于尽量减少事件和事件对企业的影响
- 流数据重迭
- 常使用相同的系统(例如Splunk管理探索数据
- 都聚焦根源分析 基于数据流
- 都采用分层响应方法,一线响应者处理“一切照旧”运算和事件,从一到三级升级到更高层次工程师、架构师和分析师
- 最关键的是:当环境中或环境异常时(路由器行为滑稽),前方很难知道究竟是网络问题(路由器行为滑稽-配置错误)或安全问题(路由器行为滑稽-失密)或两者并发(路由器行为滑稽-编译错误并严重脆弱)。完全分离NOC和SOC可指重复工作,因为两个团队都取东西并检查它可能指互弹事件或互不接取事件,
最少应分立NOC和SOC操作的下层集合化,这样工作人员在想出问题实际何在时既不重复,也不玩热马铃薯游戏,以及响应是否以网络为焦点、安全为焦点或同时并举。保持分离或半分离升级路径是可支持的,因为低级趋同
为何不汇合
阻力更趋一致相当持久
- 网络团队和安全团队在大型组织中很少同队,通常不向同一个人报告上游二三圈以求同点领导差异与不同议程、策略、目标与预算池并发
- 多年来,各组织经常外包NOC并分包SOC或反向SOC或外包-但外包给不同的提供者和不同生命周期这使得难聚集职责,难整合团队,难整合平台和数据流及数据视图
- SOC员工常在以保留犯罪证据为主的环境中操作 建立证据监管链网络团队远非如此
为何我们现在谈起这个
时机对了 重新讨论这个题目 因为网络安全运维问题 越发交织 部分原因是网络安全基础17年(和2个月)自我首次写作以来,我们除其他方面外看到软件定义网络的兴起特别是SD-WAN零信任网络架构,SASE和SASE安全设备正网络.适应性持久威胁 多重线程攻击 僵尸网服务 长矛钓鱼 快速传播赎金器
网络中的任何部分都可能成为安全基础设施关键构件,异常事件都可能需要综合网络安全响应,NOC和SOC的合并比任何时候都更有意义。