来论|成功的网络安全运营中心须知
2022-06-06 00:00 
一个完整的网络安全组织,需要有一个领袖Chief Information Security Officer (CISO)去制定策略和方向,例如要投放多少资源在网络安全,决定可承受的风险等。然后有一班安全工程师去设计和实施一些安全系统,如防火墙、防毒软件等。然而,是否实施了这些安全系统,就算完成工作,可以安枕无忧呢?当然不是。这个时候就需要SOC了。
网络安全系统,会产生很多的安全资讯,SOC的功能就是要分析这些资讯,从而去作出一些行动。举个例子,如有黑客用盲撞方法去试不同的密码,每一次失败,就会产生一条登入失败的日志条目。但如果没有人去分析这些日志时,黑客可以不断试下去,总有一天就会成功。SOC的功能就是去搜寻这些事件,然后去阻截和防止攻击。当然这是极度简化的例子,实际上安全资讯多如天上繁星,攻击的方法也层出不穷,所以SOC的工作是殊不简单的。
香港正面临SOC人才短缺
一个成功的SOC须有以下的要素:
1.技术──由于安全资讯太多,根本不可能以人手去检视和分析。笔者任职的机构,一年要检视和分析的日志条目,数量甚至比银河系的星星还多。所以Security Information and Event Management (SIEM)是不可或缺的。SIEM 从不同的系统收集安全资讯,做初步的分拆和筛选,再给SOC分析员作进一步的分析。
2.流程──有贼入屋,当然愈早发现愈好。要有效并尽快捉贼,就需要一套清晰的流程和分工责任。通常SOC的分析员有多层,第一层专处理一些已知的情景和用例,第二层处理一些未发生过的情景或第一层不懂处理的事件,再有另一层去建立一些新的用例,并尽可能自动化。有些SOC还会主动去搜寻一些可疑的威胁(threat hunting)。
3.人──是最重要的一环。电脑是死人是活,很多时候完全按本子办事是不行的,或多或少我们都需要分析员自行作一些判断。虽然人工智能可以帮忙,但SOC人员的培训是必要的。可是,现在香港却正面临SOC人才短缺的问题。
4.持续进步──SOC需要不断改善进步,一方面是因为黑客不断进步,不断发掘一些新的攻击方法,另一方面安全系统亦不断进步,所以SOC要建立新的和微调已有的用例。一个调校好的SOC是很重要的,敏感度太低可能错失了重要的攻击讯号,太高就会狼来了,真正的狼出现时就会视而不见了。
外判SOC运作不甚透明
SOC可以自建或外判。自建的问题是需要不少的投资,在香港人才也不易找,所以公司要有一点规模才会化算。外判则解决了规模和人才问题,但通常外判的SOC运作不甚透明,隔山买牛,就不容易判断它是物有所值或货不对办,所以笔者建议用一些有信誉的外判SOC。
叶曼春
香港电脑学会网络安全专家小组执行委员会成员
關鍵字
最新回应