IT组织结构在不断变化,因为传统模式不再适合云基础设施和数字化转型的现代需求。虽然这种情况以许多不同的形式和形式发生,但最有趣的变化之一是网络运营中心和安全运营中心团队之间的整合。为了理解为什么这不仅有趣而且重要,让我举个例子。
在一家公司中,SOC团队调查了一个可疑的数据泄露事件,调查了10天,却没有通知公司的任何其他部门。在此期间,SOC团队搜索新信息,在需要更多数据时停止,并查看看似邪恶的流量。他们的方法阻止了其他利益相关者之间的任何交流。法律和内部新闻团队都没有意识到可能存在危机。没有其他人提供额外的输入或数据,也没有人参与帮助阻止这一事件。
这个例子说明了NOC和SOC之间的孤岛有多危险。为了提高其网络和安全事件管理的灵活性和响应能力,许多网络安全团队开始对NOC和SOC进行重点整合。这一举措背后的基本原则是,NOC的使命和SOC的使命越来越多地使用相同类型的数据、自动化和分析。
通过构建公共基础设施和合并流程,组织可以以更低的成本提高其可靠性和弹性。这种融合仍然处于早期阶段,但我们已经可以看到技术运营团队在实施DevOps和DevSecOps实践以及全面扩展自动化方面的经验和教训。
NOC/SOC集成的力量
NOC由IT技术人员组成,他们监控、维护和监督企业网络,包括内部或外部网络(如果组织支持向客户提供托管服务)。NOC团队使用远程监控工具监控网络活动,响应网络可用性中断并优化性能。随着传统安全边界的消失,整个IT生态系统成为网络犯罪和网络事件的主要目标。该组织通过设置SOC来做出响应,SOC手动工作以补充自动化系统,从而管理该组织日益复杂的网络安全环境。
NOC和SOC将识别、调查、优先化、升级和解决问题,以减轻或完全避免影响客户和业务的事件。NOC团队解决网络性能和可用性问题,而SOC团队接收和响应有关安全威胁的信息。尽管两个团队都在不断地监控日志和事件,但是他们使用不同的工具和过程,这导致了在理解哪个团队应该做出响应方面的挑战。
在最近出版的一本关于网络安全的书中,作者Renee Tarun描述了当NOC和SOC保持孤立时所造成的混乱:
当出现问题时,每一方都部署自己的响应团队-通常使用重复的工具,并通过两个不同的镜头查看同一组数据。毫不奇怪,网络团队从网络可用性的角度处理事件,而安全团队从恶意意图或安全漏洞的角度处理同样的问题。看似网络问题,实际可能是攻击或者其他网络问题;看似网络事件或威胁,实际上可能是网络问题。有些问题属于这两类。
集中式事件管理流程的优势
打破这些孤岛需要集中的方法,但这种方法也需要所有权。NOC最适合拥有事件管理流程,因为他们管理更广泛的事件类型,而不仅仅是与安全相关的事件。当国家和地区奥委会团队获得赛事管理区的所有权时,就为整合铺平了道路。实现完全集成意味着通过共享流程和工具走到一起。
更好地与跨组织的利益相关者沟通
任何待命人员都非常清楚,调查事故只是工作的一部分。与内部和外部利益相关者的沟通是一个关键因素。通过管理事故响应流程,国家和地区奥委会确保了整个组织内适当的沟通水平。让所有利益相关者参与进来,即使从沟通的角度来看,不一定是缓解或调查所需的人员,以确保每个人都准备好采取行动,无论结果如何。
改进数据访问和共享
NOC非常适合作为安全团队和产品经理、技术项目经理或个人服务负责人之间的连接器。由于国家和地区奥委会团队与许多利益相关者保持关系,他们通常可以获得整个组织的正确数据和专业知识。这样,NOC就成了SOC的主题专家。集中式事件管理结合了每个组的自动化分析。在事件响应过程中的某个时刻,团队确定哪个专家负责问题的哪个部分。
让隔离风险发光。
最终,一体化是通过伙伴关系实现的。每个团队都认为另一方在减轻事件对业务或客户的影响方面起着补充作用。不幸的是,尽管有这些好处,许多组织仍然像上述公司一样在孤岛上运作。SOC团队花了10天时间调查疑似数据泄露事件,全部在一个孤岛上进行,从未包括NOC、新闻团队、法律或任何其他重要的商业利益相关方。
单一事件如何催化变革?
像这样的事件促进了变化。在上面的例子中,数据泄露被评估为良性的,没有危机。但是如果事实证明威胁是真实的呢?当一个高度可见的事件在泡沫中开始时,它将阻止任何其他人参与,减轻和保护客户和企业。
幸运的是,这家公司把这个错误作为改变的机会。NOC引入了简化的事件管理流程,要求对任何需要安全调查的可疑活动开出罚单。这意味着SOC再也不会在黑暗中处理问题了。集中式事件管理流程打开了沟通渠道,使主题专家能够在需要时参与进来,并确保在保持事件可见性的同时进行数据共享。
技术与数据融合打破孤岛
打破团队之间的孤岛是棘手的,但却是有益的。NOC和SOC之间的合作和整合不仅解决了资金和实物资源的限制,还降低了风险。
随着数字系统的扩展,出现问题时可能需要更长时间才能知道需要哪些专家。集中式事件管理是缩短参与各种专业知识和响应所需时间的途径。然而,即使采用融合过程,一流云工具和服务的爆炸式增长也使得数据融合变得困难。
目前,各种服务所有者构建自己的服务和微服务,并使用他们的监控工具,每个工具都标识自己的一组事件。尽管团队可能使用不同的工具,但目标应该是拥有一个共享的平台,可以从每个系统创建结构化数据。
将所有这些事件推到一个地方,可以让您将它们标准化并关联起来。来自不同系统的多个事件警报共同构建了一个完整的故事。分组后,这些警报代表具有上下文的事件,帮助组织加快达到初始缓解或分类步骤所需的时间。路由警报触发自动化,而不是流程的开始。这样一来,15年来大家一直在卖的单玻璃概念终于可以实现了。
网络安全融合如何成为技术操作的试验场?
NOC和SOC团队之间的整合是解决TechOps中越来越多出现的类似问题的试验场。随着操作系统的发展,将需要专家来关注每个系统。同时,就像在网络安全领域一样,首先需要分析和协作来了解正在发生的事情,以便合适的团队接管或者合适的团队协作。集中式事件管理和共享分析工具的实践,以及用于分析事件和分配责任的简化流程,将成为许多融合模型中的一种,随着TechOps成为更广泛、更常见的领域,这些模型将一遍又一遍地重复。
