RSA2012系列（3）：建立SOC的最佳实践分享

在RSA2012大会上，有一个技术研讨会，题目是建立SOC（安全运营中心），讲演者是前BT的一个伙计，现在已经在甲方干活了。他的讲演从建立SOC所需的技术、流程和组织三方面进行了阐述，并着重说到了自建和外包SOC的选择问题。

大体的提纲如下：

1）SOC规划注意事项：全面审视现有的流程；选址；资源投入计划；培训计划；为变化做好计划——“不要等到万事俱备了才开干”，呵呵，这跟之前Intel的SOC构建最佳实践是一致的（don't put everything prepared ahead）。

2）选择SIEM工具的注意事项：SIEM是一个工具，能够协助分析师，提升工作效率，但是不能替代分析师。更深层次地，要厘清的是关于自动化和人的关系的问题。也就是说是否存在一个工具，能够自动地进行事件分析，从而取代分析师？这篇论文早就给了我们一个回答。这个问题在国内更加容易让人迷惑。呵呵，这下终于有了引证。

3）自建还是外包SOC？本质上取决于需求分析。而单纯比较两种建立SOC的方式，则各有优缺点。讲演者重点阐述了外包SOC的选取原则。例如，你应该询问MSSP的几个关键问题包括：服务人员、服务的稳定性、规模、性能指标、SLA。另外，对于自己，还应该考虑清楚自身的服务转换能力、以及更换供应商的策略。最后，对于MSSP的宣传口号要进行甄别，最好的办法就是提前验证，例如7×24响应（你晚上2点打电话真的有人接吗？），实时分析（真的是实时吗？），报告真正重要的事件（要验证报警的频度、误报漏报情况）。

4）人的问题——SOC分析师。谈到了SOC分析师的岗位技能要求，以及如何留住好的SOC分析师。呵呵，如果你在美国登录招聘网站，查找SOC分析师的工作岗位，会有一大堆招聘启事，很多公司常年缺人。

5）流程的问题——很强调“文档化”的工作；

6）SOC的度量，或者说SOC收益的度量问题，包括人/分析师的度量（绩效）和对系统的度量（ROSI）。关键在于度量指标的选取。