對於終端使用者而言,如果已經決定要引入soc,那麼要如何建設soc安全運營中心?注意,這裡的soc 包括技術、流程和組織三個部分,不單指soc技術平台。目前,業界通行的做法有三種:
1)自建soc,自己搭建平台,建立自己的組織和流程,並進行運維。其中平台部分,使用者可以自己設計並開發平台,也可以外購乙個技術平台;
2)購買mss服務,租用mssp的soc,或者叫做安全服務外包,包括租用安全基礎設施;
3)共建soc——目前比較多見的方式,自己搭建soc技術平台,建立核心的組織結構和流程,處理核心的安全問題,然後利用外腦(外包服務)來進行協維、諮詢。
其中,第三種方式可以看成是前兩種方式的綜合。
對於自建型soc(或者稱作自運維型soc),首先要處理的問題是如何構建soc實體,也就是要有乙個場地的問題,這篇文章《如何建立自己的soc》可以參考。如果soc中心建立起來,怎麼運維使用起來呢?回答這個問題之前,應該先對soc運維有乙個正確的理解,樹立正確的認知,這篇文章《如何用好soc》可以幫助我們釐清一些問題。然後,可以看看業界的一些最佳實踐,看看其他人是怎麼去運維自己的soc的,例如這個intel的soc運維實踐,或者微軟的soc設計實踐。
對於外包型soc(也就是購買mss的方式),顧名思義,就是要讓專業的人去做專業的事。與所有其他it運維服務一樣,對於使用者而言,選擇外包型soc首先要考慮的就是roi(投資回報)的問題,sla的問題(風險合理轉嫁的問題)。使用者應該知道國內外mss發展的現狀以及國內目前現狀,要對mssp有個理性、正確的認識和預期。正如這篇文章中提到的,mss不是交鑰匙工程!客戶不可能因為將安全外包給了mssp就不用承擔安全的責任了。實際上,客戶的安全責任最終還是客戶自己承擔。就算mssp賠償你損失,很多東西也無法挽回了。選擇mss,就是在選擇乙個重要的、長期的合作夥伴,是一種特別的信任。作為使用者,選擇的mssp除了要有強有力的基礎實施、人員、流程和制度管理外,還應該有很好的信譽和資質,就是要能夠給使用者帶來安全感。有資質不一定就有安全感,你可以有iso27001認證,有安全服務資質,系統整合資質,可以與使用者簽訂nda,但是這些只是必要條件,不充分。在現有的國內環境下(缺少法律保障和保險),如何選擇,或者說選對mss,對於使用者的確是個挑戰。乙個可行的方式,是使用者先界定好乙個較小的問題域,將一部分業務外包出去試水一下,慢慢來。最後要強調的是,是否選擇mss是與使用者的業務戰略相一致的,要圍繞這個企業的業務戰略來做出決策。例如,對於乙個十分依賴it的新興企業,為了快速在市場上樹立強有力的地位和獲得競爭優勢,可能就應該考慮對it服務進行外包,包括對it安全進行外包。而對於乙個既有的市場領導者型企業,則會可能會採取更加穩妥的方式。值得慶幸的是,儘管當前經濟形勢趨緊,當前國內經濟發展整體還是很迅猛,會有mss需求的公司會越來越多。
共建型soc綜合上述兩種方式。一般是將soc中心建在本單位內部,並有一套核心的組織和流程,然後借助mss來進行諮詢和運維。這種方式適用於較大型的企業,因為這會有乙個roi週期的問題,儘管比自建型soc要小,但是對於smb依然是難以承受的。還有乙個方式,在行業或者主管部門的牽頭下,若干個中小單位聯合起來,與乙個承建商(通常是mssp)協作,共建soc,也是乙個思路。事實上,目前運營商的soc基本都屬於共建型,而聯合自建型soc則可能會出現在行業指導性強的企業和單位中。
除了上面講到的終端使用者建設soc的方式之外,還有一類客戶,他們想自己搭建乙個soc安全運營中心,但主要不是自用,而是用它去做mssp。這類客戶又該如何建設soc呢?同樣,也要考慮技術、流程和組織三個方面的內容。具體操作的時候,也有兩個方式:
1)自建型mssp,也就是自己來,以我為主的方式。可以利用自身現有的積累和優勢,拓展成為乙個mssp,其中包括選擇乙個合適的soc技術平台。
2)共建型mssp,就是幾個人(幾家單位)一起來,各自貢獻自己的優勢,參與方可能包括基礎設施提供商、運維和服務提供商,還有技術平台提供商,等等。
要做自建型mssp,最重要的不是選擇soc技術平台,而是設計好商業模式,搭建好組織架構,制定出運維流程,然後才是平台。甚至,對於一些初始的階段,如果設定的服務範圍較小,服務型別叫單一的話,都可以沒有soc技術平台,而只用一些運維流程支撐系統配以一組工具集即可。在選平台的時候,重要的在於找到合適的,而非業界最佳的。什麼叫合適,也就是與你的組織架構和流程設計相匹配,與目標相匹配,這也是為什麼說技術要在組織和流程之後的原因。如果你已經有很好的組織和架構基礎,有很豐富的it運維經驗和實踐積累,選擇平台可以更加單純一些,反之,就更加要注重實用性和適用性,並關注soc技術平台的擴充套件性,定製化。
要做共建型mssp,最重要的也不是選擇soc技術平台,而是資源整合能力,能夠把各方面的資源整合到一起,形成共同的願景。當前國內以idc為代表的服務商具有較好的基礎設施及其運作經驗,還有不少整合商或者it服務公司具有運維方面的人才和技術積累,而專業安全領域知識和安全架構設計及諮詢又基本上集中在專業安全廠商手中,因此,多方合作的趨勢很明顯,但是可操作性有待驗證。
無論上述哪種,在設計商業模式的時候,都要進行充分的客戶市場分析,做好市場定位工作,了解客戶對於安全的fud(恐懼、不確定性、懷疑),要知道如何化解這些fud。
最後,我要給安全廠商,包括安全技術產品提供商和安全服務提供商在參與到soc建設或者mss建設的時候提出一些忠告,如果你考慮只是造勢,是賠本掙吆喝,是別有用心,那麼我不管,也沒有任何忠告。如果你是真正要做些實事,那麼在參與到mss建設的時候,以及參與到客戶soc建設的時候,都要先做好自身的定位。要先做出mss和soc的模型,劃分清楚其中的角色和參與方,也就是畫出較完整的用例圖,然後確定好自己在其中扮演什麼角色,千萬不要模糊,要知道自己什麼行,什麼不行。
安全運營 2 SOC安全分析師的日常
在本系列的第一篇部落格中,我們簡要了解了安全運營中心 soc 是什麼。在本篇部落格中,我們將繼續 soc安全分析師的一些工作日常,了解soc團隊是如何做到時刻保護其公司免受網路威脅的,以及作為soc安全分析師又需要哪些基本技能。soc安全分析師 soc安全分析師一般都經過專業的培訓,培訓側重在如何檢...
新一代安全運營中心體系
1 安全運營中心是一套體系,不僅僅是乙個安全產品。2 以資料為根本,使用大資料分析工具,實現海量資料實時分析,進行視覺化呈現,同時實現安全風險以及業務運營狀況的態勢感知,達到安全運營的目的。3 以安全服務為根本,對企業的it系統進行安全風險評估,發現脆弱性和威脅 週期性的提供安全服務,保障企業資訊系...
阿里雲重磅推出物聯網安全運營中心Link SOC
阿里雲iot自主研發了新一代物聯網安全平台link security,面向iot裝置全生命週期構建了一整套全鏈路多層次的安全防禦體系,iot物聯網平台的業務在不同層面可以按需整合安全能力。1 首先在裝置開發階段,提供了三種安全等級,五類安全載體的可信根,通過安全計算環境來防止物聯網裝置上應用程式的核...