SOC四大弱点分析
| 导读 | 今年的年度安全运营中心(SOC)调查中,SANS研究所指出了4个最为常见的SOC弱点。这些弱点的根源可被追溯到我们非常熟悉的人、过程、适度规划和技术实现上。下面我们就来看看SOC的四大弱点究竟是哪些,安全团队又能对此做些什么。 |
大多数情况下,SANS调查中受访者最为困扰的安全运营中心相关问题,是可以通过计划、策略和流程的正确组合来解决的。

今年的年度安全运营中心(SOC)调查中,SANS研究所指出了4个最为常见的SOC弱点。这些弱点的根源可被追溯到我们非常熟悉的人、过程、适度规划和技术实现上。
下面我们就来看看,SOC的四大弱点究竟是哪些?安全团队又能对此做些什么呢?
大多数SOC的自动化和编排程度都不高,因为SOC团队不知道应该自动化哪些过程。公司企业的员工是第一道防线。可以从采访SOC人员以了解他们的职责和发现可重复过程开始,比如IP/URL信誉、whois信息等事件证据的繁琐收集过程。这些过程由人来做很耗时间,但却很容易自动化。
下一步,进行风险评估和安全评估以识别资产和漏洞,提供监测安全监视效率的指标。这些数据点有助于暴露出能够自动化的可重复过程。
安全工具间缺乏集成也是自动化和编排的阻碍。由于公司企业采用多层防御来抵御多线程攻击,安全团队往往缺乏对自身产品架构和相互间如何协同工作的清晰认知。
不幸的是,这个问题并不好解决。有些替代方案包括执行概念验证(PoC)和鼓励安全供应商多了解公司的具体环境。这么做可以让SOC评估新产品,发现漏洞,在部署之前将错漏都纠正过来。
最后,缺乏恰当过程和操作手册的SOC通常其安全项目的成熟度也不高。对于这些公司,与托管安全服务提供商或托管检测及响应服务合作是不错的选择。
资产库存与管理很难。即便有自动化工具帮忙,该任务对技术团队而言仍是个沉重的负担,尤其是在最初的时间及精力的前期投入上。当今这个讲求即时满足的世界,大多数公司企业都希望只要投入某个工具,马上就能看到业务过程的加快。但鉴于IT环境和技术的动态本质,SOC团队往往不得不撸起袖子亲自下场干活,工具的效率提升效果并不太高。
任何资产管理项目都要求良好的规划和对环境的完全理解。如果缺乏这些关键步骤,任何工具都不会达到预期。对公司环境做个风险及安全评估是个良好的开端。漏洞评估的发现阶段将产出能作为起点使用的基线。但需要记住的是,安全领域不存在通用解决方案,公司企业应预期资产管理解决方案实现过程中的挫折与反复。不过,一旦正确部署,便能享受源源不断的长期红利。
听起来似乎有点反直觉,但确实是个不错的解释。部署SIEM并不是按个开关再指定几个日志源那么简单的事。公司企业必须了解自身日志源和这些源所提供的整体可见性。
为获得这一可见性,网络审计是必不可少的步骤。审计结果可以发现应设置网络分接器的位置、应保持通联的设备,还有应避免的漏洞或阻碍。Web代理屏蔽或DHCP短租约之类的阻碍可能会导致调查人员无法定位潜在受害者,限制公司SIEM执行恰当的事件关联动作。了解这些漏洞和SIEM的限制可以帮助SOC更好地摸清仍需人工关联的地方。
这一缺陷是个文化问题。SOC团队的任务是检测和防护,而网络运营团队(NOC)的任务是保持正常运行和系统可用性。两个团队之间经常发生冲突。比如说,长久以来的最小权限冲突。NOC团队希望掌握畅行无阻的高权限。SOC团队则致力于封锁环境以发现可能标志着恶意行为的异常。
更糟的是,两支团队通常都人手不足,维护网络可用性和保护网络安全的相关责任堆成山。为弥合这一缺口,公司企业可以施行明确了SOC和NOC团队间冲突解决规则的过程及程序,让两个部门都有清晰的指导方针可供互动。
有了合适的规划和部署,再辅以正确的过程及程序,大多数公司企业都可以跨越SOC弱点。至于缺乏适当资源或安全项目成熟度不足的公司,托管安全服务提供商或托管检测及响应服务都是不错的选择。
SOC四大弱点分析的更多相关文章
- Kali Linux 弱点分析工具全集
『弱点分析』与『信息收集』类工具的定位非常不同,其中包含大量的模糊测试工具.正确使用这些工具,将有助于我们发现可能存在的零日漏洞.同时此类工具中还包含了大量VoIP相关的渗透测试工具,这可能是安全人员 ...
- 常见SOC启动流程分析
本文以s5pv210这款SOC为例,分析了其启动流程 在s5pv210的SOC内部,存在着一个内部的ROM和一个内部的RAM 这个内部的ROM叫做 IROM,它是norflash的一种.其不同于板子上 ...
- Tiny4412 u-boot分析(1)u-boot配置流程分析
参考Friendlyarm的文档,编译uboot的流程为 make tiny4412_config make 这个过程主要涉及到两个文件,顶层的Makefile文件和mkconfig文件,makeco ...
- [DeeplearningAI笔记]ML strategy_1_3可避免误差与改善模型方法
机器学习策略 ML strategy 觉得有用的话,欢迎一起讨论相互学习~Follow Me 1.8 为什么是人的表现 今天,机器学习算法可以与人类水平的表现性能竞争,因为它们在很多应用程序中更有生产 ...
- Spring-Session实现Session共享实现原理以及源码解析
知其然,还要知其所以然 ! 本篇介绍Spring-Session的整个实现的原理.以及对核心的源码进行简单的介绍! 实现原理介绍 实现原理这里简单说明描述: 就是当Web服务器接收到http请求后,当 ...
- 0818基于360开源数据库流量审计MySQL Sniffer
开源数据库流量审计MySQL Sniffer 我最推崇的数据库安全产品就是基于流量的数据库审计,因为它不需要更改网络结构,并且也是最关键的是,不影响数据库服务器性能,不用苦口婆心的劝数据库管理员安装监 ...
- Acunetix Web Vulnerability Scanner(WVS)(Acunetix网络漏洞扫描器)
Acunetix网络漏洞扫描软件检测您网络的安全性安全测试工具Acunetix Web Vulnerability Scanner(WVS) (Acunetix网络漏洞扫描器)技术 网络应用安全扫描技 ...
- HMS Core Discovery第13期回顾长文——构建手游中的真实世界
HMS Core Discovery第13期直播<来吧!构建手游中的真实世界>,已于2月24日圆满结束,本期直播我们同三七游戏的专家一同向小伙伴们分享了HMS Core图形引擎服务(Sce ...
- Android 短信模块分析(二) MMS中四大组件核心功能详解
接下来的分析先从MMS中四大组件(Activity ,BroadCastReceiver,Service,ContentProvider),也是MMS中最核心的部分入手: 一. Activity 1 ...
随机推荐
- python 全栈开发,Day39(进程同步控制(锁,信号量,事件),进程间通信(队列,生产者消费者模型))
昨日内容回顾 python中启动子进程并发编程并发 :多段程序看起来是同时运行的ftp 网盘不支持并发socketserver 多进程 并发异步 两个进程 分别做不同的事情 创建新进程join :阻塞 ...
- mac修改本机mysql的root密码
今天同事的MAC上的mysql的登陆密码忘记了,问我是否能解决,呵呵 我查了下 并做个记录 1. 在系统偏好设置中关闭 mysql : Stop MySQL Server 2.打开终端 进入 ...
- Android Canvas saveLayerAlpha使用
Canvas.saveLayerAlpha(float left, float top, float right, float bottom, int alpha, int saveFlags): 本 ...
- SSM项目layui分页实例
最近学了layui,发现其中的分页挺有意思的,所以整理了一下,一遍自己随时查看.(官方文档上已经很详细了,当中有不足的地方欢迎大家指出) 关于前台的js文件,css样式,js样式,大家可以到官网下 本 ...
- Unexpected error from external database driver (1)
当尝试把Excel导入SQL时,发生此异常: Unexpected error from external database driver (1). 在网上查找到一个解决方法,网址http://dat ...
- 将WinForm程序(含多个非托管Dll)合并成一个exe的方法
原文:将WinForm程序(含多个非托管Dll)合并成一个exe的方法 开发程序的时候经常会引用一些第三方的DLL,然后编译生成的exe文件就不能脱离这些DLL独立运行了. ILMerge能把托管dl ...
- Bootstrap Search Suggest 下拉框模糊查询
源码地址:https://github.com/lzwme/bootstrap-suggest-plugin 有时间会完善!暂时有点忙!
- JVM规范系列第3章:为Java虚拟机编译
Oracle 的 JDK 包括两部分内容:一部分是将 Java 源代码编译成 Java 虚拟机的指令集的编译器,另一部分是用于Java 虚拟机的运行时环境. 第一部分应该说的是 Javac 这个前置编 ...
- JAVA消息确认机制之ACK模式
JMS API中约定了Client端可以使用四种ACK模式,在javax.jms.Session接口中: AUTO_ACKNOWLEDGE = 1 自动确认 CLIENT_ACKNOWLEDGE ...
- Gerrit上分支操作记录(创建分支、删除分支)
Git分支对于一个项目的代码管理而言,是十分重要的!许多久用git的朋友可能已经掌握的很牢固了,但对于一些初涉git的童鞋来说,可能还不是很熟悉.在此,我将自己的一些操作经历做一梳理,希望能帮助到有用 ...