探寻安全管理平台（SOC）项目的关键成功因素

我们已经多次提到了一个完整意义上的安全管理系统（SOC）应该要考虑到组织（人）、流程和技术三个方面。例如Forrester的这个报告，或者Intel对他们SOC中心的阐述。大家都说做安管（SOC）项目难，不容易成功，多半是因为涉及到组织和流程，很多时候技术不是问题的症结所在：有的项目尽管用世界顶级的产品而失败了，而有的项目用很简洁的工具就成功了。
更加需要指出的是，这个问题不仅是困扰国人的一个问题，也是困扰老外的难题。国际上，或者说美国（SIEM/SOC的发明者）那边也没有好到哪里去。即便是SIEM，老美也在不断探讨和总结确保项目成功的关键因素，或者称之为CSF（Critial Success Factor）。所以，我们不要妄自菲薄，我们更应该脚踏实地，研究中国客户的目标、需求和成功因素，应该比国外的咨询、服务和产品更有机会。
当然，在具体研究和实践的时候，应该从P、P、T三个方面入手，这是没有错的。
在2009年的时候，Enterprise System网站发表一篇来自MSSP厂商Vigilant的CTO的文章：《People and Processes Key to Faster SIEM ROI, Secure Business》，就提及了实施一个SIEM项目的时候应该关注的人和流程方面的最佳实践，还提了一个失败的例证。可见，老外也愁着呢。
简单的说，他提出了5个最佳实践，值得大家参考（注：以下内容结合了我的理解）：
1）别想当然，我们说“期望越高，失望越大”。一个SIEM（包括安管）项目应该要有清晰的目标，要有明确的需求点，要分阶段分步骤逐步落实。即便是每个阶段也都是有多个环节构成的，不是安装调试那么单纯。作者用了“ Don’t Boil the Ocean”来形容这个最佳实践，也十分贴切——别把整个海水都搅得不得安宁。不要追求大而全，至少要一步一步来，问题要一点一点的去解决。这一点，我也是深有体会，早期的业内很多项目都遇到了这个问题，倒不一定都是厂商的问题，有的客户也有这方面的问题。所以我建议，“好的安管项目咨询师应该帮助客户树立一个合理的项目预期”。如果你不都理智，那么肯定要玩完！但是光你理智，也不够，一定帮客户也理智起来。“千万不要为了拿下项目而恐于对用户说不”，“现在迎合客户，最后倒霉的还是你或者你的实施团队”。
2）项目应该是可衡量的、面向业务的、达成具体效果（Impact）的。其实就是说，项目目标一定要明确，具体，不是“建立全面的安全管理体系”，也不是“收集所有的安全事件并进行分析”。一定是客户目标驱动的，如果安管项目做到最后都不知道目标了，那么我想验收的时候就麻烦了。我有一个额外的提议，这个目标要贴到墙上，要定期的讲，讲给客户听，讲给实施团队听。
还有，所谓“面向业务的”，主要是指在运作层面上要让业务部门参与进来，让他们感受到可以获得的利益，至少让他们听的懂，看得明白。扩而广之，如果某个安管项目不涉及具体的业务部门，就是网络或者安全部门的事儿，那么所谓的面向业务，就是面向你的业务主管领导，要让你的主管领导看得明白。当然，“面向业务的”在技术层面上还有更加丰富的含义，以前说过很多了，不再赘述。
最后，“要有效果”，这点很重要。阶段性的效果可以增进项目参与者（包括甲方和乙方）的信心，可以增进项目管理者、投资方的信心，也能增加相关业务部门的信心。项目才能一步步的深入进行下去，一步步实现最终目标。别试图去“绑架”项目管理者和投资方！
3）做好项目规划，包括多项目组合规划，多项目目标管理。这主要是给甲方的建议。安管项目一般都是甲方众多安全项目中的一个，在做年度规划，或者安全整体规划的时候，在设计安管项目目标和技术需求的时候，要考虑一下整体的规划。最起码，安管项目从技术上一个集中性的安全平台，肯定与其他安全项目有关联，要事先搞清楚这些关联，包括可能存在的风险。千万别上了一推安全项目后，安管平台要么被废掉了，要么被改得一塌糊涂。
4）确保资产数据的准确性和有效性，及时变更资产信息，尤其是资产的安全属性。我想这应该更加是技术层面的问题，而非流程和人员的范畴。不过，作者提出这个建议也是对的。威胁和风险的严重性与资产的价值密切相关。这里的“资产”不能简单的理解为设备、主机、数据库等，应该包括“业务资产”！看看ISO27001便知，这里不再赘述。
5）在SIEM（安管）系统运维过程中，要注意不断的调整和优化系统，以适应各种变化。否则就会出现盲点。可能这个时候大家都很满意，但是随着时间推移，如果不作出相应变更，很快大家就会变得不满意了。因为这段时间可能上了新的设备，上了新的业务系统，有新的攻击和威胁出现了，国家或者行业又有新的发文，对安全提出了新的外部强制性要求。运维人员考虑：资产价值是否有变化？收集的日志类型是否需要变化？事件源是否要增加？等等。

文章最后，作者给出了一个失败的例证及其原因分析，看看吧：

Some companies that have rushed to roll out SIEM technology without the “people” and “process” groundwork have paid a hefty price. Consider the case of a multi-national financial services enterprise that had to end a failed SIEM project after a multi-year, multi-million dollar effort. Looking back, the SIEM deployment manager identified fatal flaws in the planning process:

——Failure to build a staged roadmap with quantifiable and achievable business objectives at each stage
——Failure to leverage asset risk classifications to prioritize monitoring of business-critical systems
——A lack of deployment metrics to quantify the extent of coverage of those systems to identify key blind spots
Anyway，诸位安管产品、技术和服务提供商，我有一个忠告：“把安管（SOC）项目做实，而不要做虚，做多做少不是关键。并且，你要做的内容应该是你们团队最擅长的，而非其中某几个人擅长的，每个安管项目都是一个Teamwork，而不是某几个理想主义者的乌托邦。”