在2014年5月份的《中国信息安全》上,蒋鲁宁老师发表了一篇文章《信息安全资源结构与信息安全教育》,里面谈及了企业和组织在投资信息安全建设时的投入结构的问题。

蒋老师提到:“企业和组织在信息安全投入的总量反映了对信息安全风险控制的意愿和重视程度,但实际上更重要地不是投入的总量而是投入的结构。当前,信息安全产品投入过度,而信息安全教育培训投入的场景不足不在少数,反映出了当前信息安全结构性的问题。”

没错,正如我常说,当前信息安全建设已经从局部优化阶段迈入全局优化阶段。在全局优化阶段,不仅要考虑全局的系统性问题,也需要考虑各种信息安全机制组合的结构性问题。这里的安全机制既包括硬性的,也包括软性的。我们需要在既定的安全目标之下,去建构合理化的安全机制组合。而确实,目前企业和组织在构建安全的软性投资上,无论是认知程度,还是投入程度都明显不足。

蒋老师举例,“一个典型的情景是SOC的建设,许多SOC的决策者更多地考虑SOC支撑产品,例如更多地关注采用哪个厂家的SIEM而不是关注如何建设能够从浩瀚的安全数据中解析出已发生或者正在发生的恶意行为的团队。这种投入的失衡使得相当多地SOC无法发挥网络空间***威胁的是识别与抵御的功效,即对SOC的投入实际上是失败的投入。SOC团队的建设(包括安全分析师的培训和工作流程建立等)应如同SIEM获取,要作为一项关键性资源从SOC项目的开始就要进行规划并在项目中按规划同步加以落实,这样才能确保SOC建设的有效性。此外,得到一支能够真正支撑SOC的团队可能并不会SIEM投入少。”

我十分赞同这个观点。我反复强调,SOC是一个包括了人、技术和流程等等在内的综合体,是一个典型的全局性安全机制。我们平时总是提到SOC,实际上多是指SOC技术支撑平台,偏技术的这部分,而不是SOC的全部。结果,我们很容易忽视在SOC建设过程中对人和流程的关注度。

而人的重要性,在有了SOC平台之后,不是被弱化了,相反,恰恰是增强了。

我们以前总是有对automation抱有幻想,总认为有了自动化的安管平台,人就可以去歇着了。事实上,安管平台的本质不是取代人,而是提升人的工作效率和工作层次。

在没有安管平台的时候,安全运维人员可能被迫花费80%的时间在收集各种安全信息,查找各类安全事件上,而真正去对抗***、识别违规、改善安全机制的时间不到20%,人的大部分时间浪费到了安全运维的低端工作上。而有了安管平台,其实更多地承接起了这些“低端工作“,他自动地收集、快速的查找功能使得安全运维人员将自身的精力从信息收集与查找总解放出来,而将主要精力聚焦在一名安全分析师真正要干的事情上,即用20%的时间用于信息收集与查找,而用80%的时间去处置、响应和改进。

也正是基于此,有了安管平台后对人的要求更高了,因为考察的重点发生了变化,对于安全分析师的能力提出了更高的要求。

随着大数据安全分析的兴起,SOC平台架构在进行升级,未来对人的要求将更加高。我在《基于大数据分析的安全管理平台技术研究及应用》一文中明确指出,”不论安全管理平台技术如何发展,大数据分析给我们带来了多大程度的信息价值度提升,安全分析师始终是不可或缺的。正如大数据需要数据分析师,大数据安全更 需要安全分析师。安全,本质上是人与人之间的对抗,不论安全分析的自动化技术如何演进,相互之间进行对抗的,始终是坐在屏幕前的人“。

安管平台可以注入人的各种分析思路、分析模型、分析模式,但终归还是需要人的输入。


回到本文的主题,SOC建设很好地向我们展示了安全投资结构布局的重要性。在建设SOC的时候如此,在做其他安全投资的时候亦是如此,IDS要用好,不是仅靠IDS设备的,防火墙要发挥作用,也并非防火墙自身所能企及。


工具必须和人结合!


【参考】

安全管理平台不等于SOC!

基于大数据分析的安全管理平台技术研究及应用