如何用好SOC?这是一个很大的话题,要说清楚并非轻而易举。在给出我的回答之前,先看看业界同仁们的心路历程吧。这篇文章——《How to SOC it to the bad guys 》写于2005年3月,应该很早了吧。诸位可以看看当时处于SOC前沿的美国在思考SOC的什么问题。当时,人们正在对第一轮SOC建设的热潮进行理性的反思,SOC发展正处于高潮后的失望期。参见下图,是Gartner在2006年绘制的信息安全Hype Cycle。
当然正如所有真正能够满足用户需求的技术一样,经历这次阵痛之后的SIEM技术及其依托SIEM的SOC越发显示了其生命力。在不断的质疑和反思中,逐步成熟起来。
回到我们的SOC话题,我想,在国内很多人可能还在没有从第一次失望中觉醒(在英文中,Gartner Hype Cycle的第三阶段Through of disillusionment既有幻灭,也有觉醒的意思。两者是关联的。呵呵)过来。所以,我认为有必要再看看这个文章——《How to SOC it to the bad guys 》。当然,如果你不愿意读E文,也可以看看中文翻译的版本——《如何利用SOC来对抗恶意攻击》。
在这篇文章中,针对热潮退去后的人们,提出了很多有益的反思。例如作者提醒SOC的建设们,要避免以下错误:
1)建SOC就是选择一个好产品那么简单吗?产品仅仅就是工具而已。
2)处理好NOC和SOC的关系。这对大型企业尤其重要。在当时,这是争论的焦点之一,以后有机会,我会再将这个历史发展过程为大家做呈现。如今,我想各位也清楚了,我们已经明确提出了网管、安管一体化的理念。
3)SOC的组织建设问题,要建立层次化的SOC组织架构。
4)真正适用的平台和软件包。我们需要的不是一个平台,而是一组套件,不要寄希望于一个软件解决全部问题,要充分利用各种工具,包括已有的各种投资。
5)对于投资回报要有清醒的认识。直到2009年,都一直有个声音,SOC不适用于小企业(SIEM: Not for small business, nor the faint of heart》——SIEM:不适合小企业和承受能力低下者RSA2009)。
IP卡
狗仔卡
发表于 2010-3-18 21:25:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡