如何評估安全運營中心即服務

■濰坊 郭曉昆 姜建華

隨著對云計算需求的日益增加，許多企業(yè)外購了一些安全運營中心（SOC）功能。因而，評估安全運營中心即服務是否是企業(yè)的最佳模式成為必要的事。

由于網(wǎng)絡安全領域中新技術層出不窮，對術語的精確描述問題變得復雜。例如，在一種技術或攻擊被發(fā)現(xiàn)后，就需要一個新的名稱來與以前的名詞區(qū)分開。

有時，有些術語和行話使問題更加復雜或模糊。安全專家們都熟悉某些廠商的語言，這種營銷用的說辭可能使我們難以理解產品或服務的真正功能和運行方式。

有個相對較新的詞——“SOCaaS(安全運營中心即服務)”。由于某些原因，這個詞給安全從業(yè)者帶來一些困惑。首先，安全從業(yè)者可能對SOCaaS與可管理的安全服務供應商（MSSP）、管理檢測與響應（MDR）等其他模式的區(qū)別存在疑問。

其次，安全運營中心的角色和范圍可能在不同的公司之間存在差異。哪些安全運營中心元素要包括到這些產品的服務部分？哪些不能？對于從業(yè)者來說，要知道SOC是否適合其安全項目是很難的。從業(yè)者甚至很難知道“安全運營中心即服務”是個新事物，或者該事物就是他們已知的某種技術的營銷行話。

考慮到這些問題，下面討論SOCaaS是什么，以及它與其他模式的區(qū)別，如何評估SOCaaS是否適合企業(yè)需求。

定義SOCaaS

SOCaaS指的是將安全運營中心的部分功能外包給外部供應商的一種基于服務的模式。SOCaaS的主要動因是日漸增加的對云的使用。過渡到云意味著，與本地環(huán)境相比，告警、日志、網(wǎng)絡信息等安全信息都可通過不同的渠道進行訪問。

在云環(huán)境中，安全團隊通過不同的機制獲得不同層次上的不同信息。那么，安全團隊如何將這些信息與來自本地或企業(yè)管理工具中的信息協(xié)調一致？這正是SOCaaS試圖解決的問題。SOCaaS利用自動化跟蹤環(huán)境中的資源和異常來運行，它也可以進行阻截或發(fā)出告警來作為響應。這些工作可以通過一種完全自動化的方式完成，有時也可以交由人工審查從而找出虛假信息。

SOCaaS重視的是監(jiān)視傳統(tǒng)安全運營中心的要素，而不是公司具體的運營要素。這正是SOCaaS不同于傳統(tǒng)的MSSP的地方。MSSP（安全托管服務提供商）可能將監(jiān)視作為其服務提供的一部分，但同時又往往包括許多本地安全工具的運營。

我們以完成這種監(jiān)視所需要的源要素為例。其中可以包括本地安全工具的運維，如入侵檢測系統(tǒng)和防火墻，以及從網(wǎng)絡設備上收集信息的設備和從各種資源收集的日志等。MSSP不僅會處理一部分監(jiān)視功能，還往往承擔著用以完成監(jiān)視數(shù)據(jù)收集的物理基礎架構的運維。

相比較而言，SOCaaS以及MDR所提供的服務一般都利用分析、機器學習和其他工具或方法來簡化檢測過程。當數(shù)據(jù)收集工具是由不同種類組成并且對特定企業(yè)來說是唯一的時，這種簡化就更為有效。

在這一點上，有些專業(yè)人士可能會認為SOCaaS聽起來就像是MDR。二者確實在有的方面都有重疊。與SOCaaS類似，MDR往往利用機器學習和分析工具來幫助進行事件檢測，并且往往可以進入多種客戶環(huán)境（如云、本地等）來完成檢測。要點在于供應商利用自己的工具和技術，可以提供檢測和響應功能的規(guī)模效益，這比客戶自己實現(xiàn)這些功能花費的更少。MDR不像傳統(tǒng)的MSSP模式，MDR合作伙伴往往不直接管理或運營客戶本地的SIEM、IDS、網(wǎng)絡行為異常檢測或網(wǎng)絡過濾等安全工具。

當然，并非所有的服務供應商或產品都是一樣的。隨著產品或服務不斷開發(fā)以及各種角色的不斷革新，很有可能出現(xiàn)一些重疊的方面。

如何評估SOCaaS是正確的選擇

為評估最佳的服務，企業(yè)應當分析自己的需求。如果一家大型企業(yè)已經(jīng)有了一家或多家MSSP關系，那么這些供應商就有可能以增量成本來支持監(jiān)視。如果一家企業(yè)擁有明確界定的云環(huán)境，例如，大量使用一家供應商的IaaS,這種服務專門針對那種環(huán)境，因而這可能是一種不錯的選擇。企業(yè)可能選擇與一家MDR企業(yè)合作從而有助于提升其響應能力。

決定哪種選擇最佳要依賴于企業(yè)已經(jīng)部署什么，企業(yè)期望完成的任務是什么，還有特定企業(yè)的影響任務完成方式的標準。

企業(yè)不妨從系統(tǒng)性地理解和分析安全項目期望實現(xiàn)的功能開始。其目標是強化檢測功能從而改善檢測結果嗎？或者目標是降低監(jiān)視成本、提高對云環(huán)境的可見性或是強化本地或是外部環(huán)境嗎？回答這些問題可以使企業(yè)明白哪些類型的服務或供應商可能是最適合的。

在確定必要功能的簡短清單時，企業(yè)應當做兩件事情。首先，要求親自參與。例如，如果企業(yè)選擇執(zhí)行滲透測試（可能PCI DSS要求這一步驟），就應當在滲透測試期間要求找一家SOCaaS，以驗證供應商如何執(zhí)行測試。這有助于確認在交付中的任何不可預料的小問題。

注意，并不是在每種情況下這都是一種選擇，有些供應商可能有一些約束和要求，從而限制此步驟的可行性。

此外，安全團隊可能不會僅僅為了測試一家特定廠商的能力而對其整個監(jiān)視的基礎架構進行交叉性升級。然而，供應商可能非常熟悉這類請求，所以供應商有經(jīng)驗幫助嘗試評估的潛在客戶。

最后，在評估一些承諾的的特性和供應商時，安全團隊必須在使用供應商的服務期間、之前和之后都進行監(jiān)管。正如安全團隊為理解服務等級協(xié)議、變化的價格和性能而要監(jiān)管云供應商一樣，企業(yè)也必須確保了解特定的服務供應商是如何隨著時間推移而運作的。