提高 SOC (SECURITY OPERATIONS CENTER)效率的五種方法

企業不僅購買了更多產品,而且還嘗試僱用更多的安全分析師進行監控組織中的警報和威脅。然而許多人找不到足夠的分析師(問題是缺乏熟練的安全分析師)。組織面臨的另一個挑戰是對新分析師進行培訓的事實,這是一項艱鉅的任務,高級分析師沒有足夠的時間培訓初級分析師。要如何提高培訓甚至未來 SOC 運營的效率,我們有一些建議:

1. 合作與知識共享

如果您查看銷售和營銷工具,那麼他們將重點放在信息共享和協作上。挑選任何成功的銷售運營工具,它可以使您完全透明收集的有關客戶及其行為的信息。 另外,系統的每個用戶可以分享並向他人學習。 每個 SOC 必須能夠向同行分析師學習並引入協作進入 SOC 運營工作流程。 將協作構建為 SOC 工作流的一部分可以檢測正在調查的重複事件,並培訓初級分析師以供借鑒高級分析師。 實際上,協作有兩個大好處–(a)使現有團隊變得更好受過教育,相互聯繫並提高了生產力,並且(b)減少了重複工作,並且如果其他人正在調查類似的調查,則進行調查。

2.指導性手冊和培訓

幫助技能組的另一種方法差距是創建可以幫助您的 (Playbook) 劇本分析人員遵循規定的流程,銷售和營銷工具使銷售人員的工作不斷提高生產力,提醒他們下一步是什麼,當他們需要他人參與時等。這需要以某種方式在 SOC 中完成,且不會妨礙專家分析師。在他們的工作中。劇本應該瞄準促進遵循最佳做法隨著時間的推移而發展起來。從現有的自動化工具。特別應注意以下事實:這些劇本不是位於您的文檔存儲庫,但實時跟踪文檔可幫助分析師進行工作。如果可以這些劇本是可跟踪和自動化的,因此您不僅可以獲得分析師的工作效率收益,而且還可以獲得隨著時間的推移跟蹤和改進流程的能力。

3.自動化

當有重複的任務並且不需要人工干預時,非常需要自動化。
在銷售過程中經常發生這種情況(例如,發送電子郵件提醒)。 在安全操作中有許多此類任務目前需要不必要的時間。 如今,大量事件尚未得到調查,因為警報的數量遠遠超過了人員數量,在團隊中處理它們。 還有很多這些動作是完全重複和平凡。 如果我們能自動化複雜的諸如駕駛汽車和製造自動駕駛汽車之類的任務,我們絕對可以自動檢查實體的信譽,查詢端點產品,在多個地方搜索信息等等。

4.實時和歷史情況

收集有關過去安全事件的數據和實時分析,可以幫助分析師更快地做出決策、更聰明。此數據需要超出收集的日誌數據,並且應該包括對當前事件的更深入分析。你不這裡需要複雜的機器學習技術,但僅僅是讓用戶意識到重複來自過去調查或主動並行進行調查的信息是巨大的。

5.衡量事件的影響

如果您可以衡量整個事件響應過程中的指標,例如事件類型,分析師工作量,解決事件所需的技能,級別自動化等,那麼您可以使用這些指標來提高整體安全性組織的姿勢。知道每個事件的相對數量類型可以幫助指導安全性投資。例如,大多數組織今天抱怨“網路釣魚”事件是最多的,也是最大的時間浪費。如果確切數字可以驗證此數據,那麼我們可以對組織內的網路釣魚進行教育,建立更好的控制措施防止網路釣魚,並更快地做出響應並持續衡量改善。每個事件的建議都需要反饋給安全和 IT 團隊使用網路釣魚和所有其他手段來改善狀況。

2019-12-31T17:35:02+00:00 2019/12/31 |商業洞悉, 資訊安全, 雲講堂|