安全操作中心即服务(SOCaaS)

专家精英团队随时待命检测和应对

2024 MDR买家指南

主题概要

MDR Gartner®ReSearch

2023 Market Guide for Managed Detection & response services

下载报告

什么是“SOC即服务”?

安全操作中心即服务(SOC as a Service, SOCaaS)是由网络安全企业提供的服务,通常由客户提供安全操作中心(SOC)取而代之的是整体的作用。。在特定情况下,如人力不足、新兴企业和中小企业没有资源确保网络安全等,SOCaaS将作为组织的战术控制台,跟踪安全警报、网络攻击他们的防御,他们的整体安全措施。。

在IDC,一个组织siem脆弱管理端点安全、其他检测和支持工具等一系列安全功能都可以外包给SOC团队。。你也可以签约整个服务菜单。。但是,因为是作为云服务提供的,所以操作是在站外进行的,托管在云上。。SOCaaS提供商代表客户进行以下业务:

  • 代替客户修复网络威胁
  • 帮助顾客判断对自己公司来说重要的服务
  • 将客户网络的数据收集和分析合理化
  • 几乎所有的利益相关者都能活用过程和结果,用容易理解的表达方式来表达

考虑到这一点,企业和安全组织要彻底分析他们现在的安全项目,确定它们的优点和缺点,以及他们之前没有解决的实践领域。。这样我们就可以在寻找SOCaaS供应商时将焦点锁定在本公司固有的标准上我们可以做到。。

SOC (SOCaaS)作为服务的优点

将特定领域的安全隐患外包给服务提供商的最大好处可能是,客户不必担心这个领域。。SoCaaS包括很多领域,如上文所述,下面介绍几个具体的好处。。

快速检测和修复

当检测出异常时,如果团队反应缓慢,可能是因为优先顺序的问题,成员不得不各自往不同的方向努力。。SOCaaS提供商派出专门的分析师来应对网络威胁和脆弱,并停止或修复它们。。在内部SOC的情况下,随着状况的变化,上下文的迅速切换可能会导致实时工作变得困难,但如果是只负责检测、应对和修复的团队,就可以更迅速地采取行动。应。

获取安全相关的专业知识

SOC分析师需要涵盖所有专业领域,并且能够代替客户迅速做出反应。。 SOCaaS供应商通过封锁端点 威胁狩猎我们需要为分析和封锁恶意软件、分布式警报和升级路径的分析师提供帮助。。 了解SOC的人才、技术和路径有助于寻找值得信任的供应商。。

成熟度的提高

我们不能低估客户安全程序加速发展的好处。SOC每天都面临着很多威胁。。确保预算来应对安全程序的不成熟是很好的,但如果公司内部没有战略人才引进计划,将重点转移到寻找合适的SOCaaS合作伙伴是更有效率的解决方案。都有可能。。

比本地SOC成本更低

就人才引进而言,从零开始建立SOC可能比与管理服务合作伙伴签订合同需要更多的额外成本。。筹集合适的技术和人才的初期费用是显而易见的,但也有人担心引进这样的人才和运营流程后会发生离职。。SOC分析师的約71%但是,特别是分析师总共只有7人左右,在背负着企业安全领域重压的情况下,他们表示对工作感到倦怠。。

SOC作为服务的作用和责任

即使企业和小型安全组织决定开始寻找SOCaaS供应商,了解分析师和工作人员的角色和责任是很重要的,这些角色和责任包括在他们计划的SOC中。。这是一个必不可少的过程,因为这是一个保护公司环境和声誉的团队。。

SOC经理

负责监督SOC,直接管理由数人组成的安全团队。。SOC经理的职责包括制定全公司的安全战略,具体来说就是制定人才招聘、流程建设和技术栈开发的愿景。。既能提供技术指导,又能提供管理监督。。

安全分析师tia - 1 - triage

提供商的SOC分析师做出反应,发出警告,并进行处理。。在这个调查过程中,我们将决定在补丁和修复队列中的哪个位置放置威胁。。对于公司内部的安全组织来说,制作警告可能会花费相当长的时间,但是通过外部团队对处理过程的管理和自动化,可以大大减轻公司内部团队的日常负担。

安全分析师ti2 -事故应对者

这类分析师通常处理来自tia - 1的分析师的警告。。因为这个用户的队列中的警告被判断为是真实的,所以需要对其进行优先级排序。。负责详细调查警告,确定受影响的系统,制定应对和修复计划。。

安全分析师tia 3 -威胁猎人

在这个过程的这个阶段,狩猎开始了。。如果确定事故具有更严重的性质,则威胁猎手检查攻击者或威胁如何通过初始安全检查。。有了威胁狩猎,安全分析师可以积极地检查客户的网络、端点和安全技术,寻找尚未发现的威胁和攻击者。。

安全架构师

建筑师通常负责安全架构的构建,安全系统的工程和实施。。它还负责将架构和系统的要求、程序和协议书面化。。我们还会代替SOCaaS客户,讨论主要的监管要求和合规要求。。

SOC作为服务的问题

SOC是企业网络安全业务的控制中心,所以它的业务很复杂,有些是自动化的,有些需要人工操作。。寻找合适的外部合作伙伴的客户组织,打算将这些业务的一部分或全部委托给外部。。让我们来看看当企业决定将数字信任委托给外部团队时,SoCaaS会遇到的一些问题。。

上接过程

在决定采用SOCaaS提供商之后,脆弱的阶段发生了。。在这里,提供商需要配置技术栈以便在新的客户端环境中运行,而客户端需要准备好网络以便新提供商部署监控协议。。在启动期的下一阶段,我们收集洞察,然后测试和实现模板以做出相应的反应。。

企业数据安全

除了保护客户的网络安全,确保SOCaaS提供商的数据安全也很重要。。因此,你应该在你的客户端进行调查,寻找那些为保护所有客户的企业数据而加强自身防御的提供商。。因为这本质上是供应链的问题,所以必须考虑与这种方法有关的所有考虑事项来处理。。

日志发送的成本

作为客户,如果你要求完全接触提供商的运营和自主权,你的成本可能会很高。。尽管信息本身在技术上是由客户网络生成的,但是SOCaaS提供商所进行的操作和响应是属于提供商的。。考虑到这一点,对于安全组织来说,获取完整的日志数据是昂贵的。。

关于规制的考虑事项

最重要的事项是监管标准,以及安全组织的业务外包时的合规性。。为了保持合规,公司内外的沟通和报告是非常重要的,公司的管理层需要向特定的监管机构持续报告良好的合规状况。。确保潜在的SOCaaS提供商是合规的,还是将业务委托给第三方提供商。。

关于SOC的进一步阅读

MDR供应商的比较

rapid 7管理SOC服务关于更详细

SOC:来自博客的最新消息

MDR产品之旅