摘要：通过安全运营中心（SOC）确保获得可靠的威胁情报源是当今许多组织安全战略的基本要素。然而，建立安全运营中心（SOC）是一项复杂的工作，特别是在日益复杂的安全环境中平衡预算和资源限制时。即使已经建立安全运营中心（SOC）的企业也会发现，如果能够最好地优先考虑投资，以使安全运营中心（SOC）更加成熟，并发展到更高水平，那将是一项挑战。

    通过安全运营中心（SOC）确保获得可靠的威胁情报源是当今许多组织安全战略的基本要素。然而，建立安全运营中心（SOC）是一项复杂的工作，特别是在日益复杂的安全环境中平衡预算和资源限制时。即使已经建立安全运营中心（SOC）的企业也会发现，如果能够最好地优先考虑投资，以使安全运营中心（SOC）更加成熟，并发展到更高水平，那将是一项挑战。
　　
　　组织遇到的一个常见问题是过多地关注技术投资以解决问题，而不考虑人员和流程成本。技术传统上是一个比人员等元素更容易量化的领域，因此更容易向企业董事会申请资金。然而，简单地将所有安全预算花在这些工具上，对于在不考虑人员和流程的情况下对抗威胁几乎没有作用。
　　
　　相反，如果他们要充分利用安全运营中心（SOC），组织应该从以下五个关键考虑因素开始，。
　　
　　1.从内到外理解智能
　　
　　安全运营中心（SOC）仅与提供工具和操作的数据的保真度和信任度一样好。无论是现有的成熟还是规划新安全运营中心（SOC）的设计，定义将在组织内部和外部利用智能的可用性和信任至关重要。
　　
　　智能数据的范围可以从传统的安全工具（如外围防火墙）到更具场景功能的工具（包括用户和实体行为特征）。重要的是，威胁情报也属于战术、战略和运营类别，因为组织内部的不同受众可能会根据其角色拥有不同的情报优先级。
　　
　　无论是盲点还是偏见，每个数据源都有长处和短处。智力的面包屑意味着没有足够的背景允许个人采取适当的行动。攻击的技术线索描绘了一幅图片，但是，例如它正在了解攻击者的人类行为，这有助于将这些线索结合在一起以做出适当的反应。
　　
　　当应用于团队可以收集的关于攻击者使用的工具和策略的战略知识时，战术数据变得有意义。运营情报使用场景和战术情报来制定解决方案，以帮助更有效地预防、检测和响应。
　　
　　通过考虑分析人员在整个调查过程中采取的记录行动，了解威胁情报的组织价值和差距可能会大有裨益。在安全事件之后的事后调查也提供了令人难以置信的情报价值，以推动技术和过程的改进。
　　
　　2.角色和责任
　　
　　在全球范围内观察到的错误是购买情报来源，但不考虑能够从这些来源识别、行动、解决和背景价值的人员和流程。
　　
　　应鼓励安全运营中心（SOC）团队明确界定责任，使他们能够不断改进运营。由记录的RACI和流程支持的操作模型是操作保持一致和可扩展的重要成功因素。例如，威胁情报分析师可以审查数据和事件，并将其分类到组织优先级用例库中，并且可以遵循文档化流程将用例传达给分类分析和工具工程。诸如STIX/TAXII和CybOX之类的框架为利用编目相关数据，以及如何与同行传达数据以加强SOC的角色和职责提供了坚实的基础。
　　
　　安全运营中心（SOC）中定义和记录的角色和职责应该一致以启用安全运营中心（SOC）服务目录。与识别、升级、响应、工程、通信和报告相关的服务，有助于缓解由于责任假设或后续流程中断而错过的新威胁或问题。较大的企业可能拥有支持运营模式中每个角色的人数，但规模较小的安全团队必须找到提供相同服务范围，并实现运营灵活性的方法。
　　
　　3.加强决策的解决方案
　　
　　有几个工具可以被认为是重要的资产管理，有关入侵检测、漏洞管理、性能监控和安全信息和事件管理。
　　
　　大量的威胁情报数据很容易变得势不可挡，并且发现企业已经基于特定技术投资安全运营中心（SOC），但却无法有效管理工具或调查需要调查的警报数量，这是一个常见的挑战。由于预算有限，计划的安全运营中心（SOC）对技术的投资往往受到阻碍，并且在确定新问题时会产生成本浪费，这些问题在预算编制周期中没有考虑到。在与威胁相关的方面，它也可能反映出企业的真正积极威胁在数百个其他警告中消失，这些警告正在将安全分析师的注意力从真正的威胁中分开。
　　
　　组织必须确定哪些情报对于保护其操作具有最高优先级，并实施可以微调数据接收方式的工具，以便更好地生成可操作的洞察力。通过剖析正在收集和审查的情报类型，可以帮助解决这个问题。要思考的问题是，情报是否提供有关准确情报？关于内幕风险评分的情报？地理方位？智能与供应商技术偏见？
　　
　　4.谨防自动化
　　
　　自动化非常有益，但比执行更容易提倡。
　　
　　在全球范围内，自动化是安全成熟历程的关键部分，企业的运营转向更具适应性的安全模型。多年来为内部安全运营中心（SOC）提供动力或使用大量外包模式的组织正在寻求降低流程处理时间和成本。不确定组织在其安全成熟度旅程或规模中的位置，都在探索降低成本，同时提高从事件检测到修复的速度。
　　
　　自动化现有的智能功能以提高调查速度和效率是安全运营中心（SOC）成熟度过程中非常宝贵的一部分。但是，必须考虑自动化可能阻碍而不是帮助的因素。有些例子表明，自动化破坏了安全操作，或者对安全感产生了负面影响，因为关键应用程序无意中受到了阻碍。
　　
　　有效地规划、记录和传达有资格实现自动化的用例的要求和期望输出，将有助于企业了解可以实现哪些好处，这将有助于在内部获得对该计划的支持。对于安全之外的IT中的对等单位，了解自动化如何提供价值并减少他们自己团队的容量请求，这有助于企业构建强大的业务案例来支持资金。
　　
　　5.情报使安全成为一种文化
　　
　　虽然威胁情报的首要任务是协助识别和防御即将发生的网络攻击，但安全运营中心（SOC）提供的洞察力可用于更广泛的业务转型，特别是在涉及其安全文化时。安全运营中心（SOC）可以处理单一的情报来源并分配输出，因此它与业务中的不同部门相关。这有助于安全性与业务更紧密地集成，并有价值地为诸如未决的合并和收购等主题做出贡献，增强员工的安全知识以及应用程序/产品开发。
　　
　　开发世界级的安全运营中心（SOC）
　　
　　鼓励组织在安全运营中心（SOC）策略与预算和技能限制之间取得平衡。许多首席信息安全官都有理想的愿景，但财务和可用的技能限制会影响建立快速胜利和实现愿景的能力。利用第三方来帮助支持愿景中的运营的咨询、转型和持续运营，这些领域的组织可以保持可预测的成本控制并利用所需的技能差距。
　　
　　精心挑选的托管安全服务合作伙伴对于员工人数较少的组织来说具有成本效益，并有助于缓解在严苛的市场中维持经验丰富的员工的顾虑。拥有成熟安全运营中心（SOC）的大型企业可以通过识别其运营的核心流程和技术来提升其能力成熟度，并利用MSS建立混合运营模式，以更有效地扩展和维护成本。
　　
　　通过评估组织如何接收、评估和使用情报，企业可以确定如何分割内部和外部资源之间的运营和责任。有了这些知识，无论是首次建立安全中心还是将现有业务提升到新的水平，企业都能够更好地投资于满足其需求的最佳安全运营中心（SOC）采购模式。
　　
　　编辑：Harris