决定建立一个内部安全运营中心（SOC）而不是选择一个托管安全服务提供商（MSSP）来解决运营安全信息问题，对于寻求加强其安全态势的组织来说，这是一个具有挑战性和耗时的挑战。这篇文章将探讨这两种选择的优缺点，并提供帮助构建SOC和选择MSSP的背景知识。构建SOC：SOC是在组织和技术上处理安全事件的集中实体。这通常需要各种资源、程序和人员致力于识别、起诉和调查安全事件。理解SOC的主要构建块是至关重要的，因此您需要对构建过程中需要涉及的关键部分设定期望值。高级别的安全操作三位一体包括：人员–协助处理安全事件的员工，如SOC分析师和事件响应者。流程——让员工学习如何有效地调查/管理事故，确保所有活动都能按时顺利完成。技术-让你有你的网络意识和正确的工具，以跟踪和识别不良迹象。在你开始建立你的SOC之前，决定你的公司有多少预算是很重要的，因为SOC可能是一项非常昂贵的投资。一个好的信息安全预算应该是全球信息安全预算的5%或更多。首先，创建一个路线图，其中包括你希望每季度完成的任务的有组织的阶段，或者制定一个最适合你的组织的时间表。例如，可以通过引入类似Arcsight、Splunk或QRadar之类的安全信息和事件管理（SIEM）程序来提高可见性，以帮助将数据放在一个玻璃面板下，并提高分析师检测恶意活动的能力。换言之，从技术的角度来看，SIEM有助于形成SOC的基础。另一个步骤可以是设计用例/剧本来帮助识别和应对分析师的恶意活动。制定这项计划将有助于确定最重要的执行项目和优先事项。这些阶段将集中于帮助发展或成熟SOC团队，如监控和识别、取证、数据丢失预防和威胁情报团队。以下是SOC相对于MSSP的一些优点：SOCMSSP公司•定制SIEM解决方案的能力•定制最少，但有些可以提供控制SIEM的能力•本地保存的日志•日志无法在本地处理，因此用户无法访问分析控制台•敬业的员工•负责监督各种网络的人员一个正确实施的SOC将大大减少解决安全问题所需的时间，但解决这些关键事件需要训练有素的SOC分析师和事件响应者。解决时间是一个有效的SOC的关键指标，一旦你开始监控，这个数字就会上升。然而，随着SOC的变化，它会随着时间的推移而下降。如果您能够接受这些条件，那么选择构建SOC可能是您所在组织的最佳匹配：有效的流程/政策-分析员已经检查了材料，所有措施都没有错误，并且得到了报告和验证。相关预算—占全球IT预算的5%或更多。训练有素的SOC分析员/事件响应者-制定内部培训计划，以提高分析员的专业知识或预算，以获得外部培训质量专业领导/SOC管理–愿意按照路线图中列出的步骤进行操作。选择MSSP：对于任何组织来说，选择MSSP都是一个艰难的选择。MSSP可以增加SOC，但MSSP永远不能替代内部安全操作能力。在同意与MSSP合作之前，您需要首先考虑您的需求。企业选择实施MSSP作为安全运营支持解决方案的一些例子包括：您的信息安全团队就业不足，需要帮助管理您的网络您的公司需要引入一个24X7X365系统来执行。你不能冒险有一个内部SOC一个好的解决方法是在联系MSSP之前列出您的需求。因此，您更熟悉什么样的MSSP服务可以更好地满足您的需求。以下是MSSP提供的服务示例：仅监控–在安全事件发生时向客户发出警报并通知客户监控和管理跟踪日志数据，并可以调整应用程序的环境管理产品-对安全系统的修改（如防火墙）当你开始评估供应商时，一定要问他们正在提供什么类型的服务，因为MSSP的执行方法不同。建立一份提交给MSSP的问题清单是帮助他们理解你的需求的第一步。作为回报，MSSP向您提供自己的文档，这些文档用于更好地了解您的网络（设备、日志数量等），一旦他们清楚地了解了您的需求，他们就可以建议服务来满足您的请求。根据您选择跟踪和/或处理的设备数量或日志数量，每个服务的成本可能会有所不同。例如，许多MSSP在客户场所存储原始日志数据，这可能需要额外的费用。通常，如果您能够将日志存储在MSSP的非现场位置，则不需要额外的费用。此日志记录用于帮助创建报价。预先选择MSSP成本较低，但随着时间的推移，SOC对您的组织来说会变得更实惠。以下是MSSP相对于SOC的一些优势：SOCMSSP公司•难以找到高质量的SOC分析师•安全专业知识和风险分析•上游难以引入24X7X365 SOC系统•建立24X7X365 SOC，以验证和提交有关潜在安全威胁的警报•需要提前进行更大的投资，但随着时间的推移会变得更有价值•比现有的SOC建筑便宜得多结论：对于每个人来说，决定是构建一个内部SOC，选择使用MSSP，还是同时引入两者都是一个困难的挑战，但事实上，你在公司内部进行了讨论，这意味着你正在努力开发你的安全系统，这是一个很好的第一步。在做出决定之前，组织需要考虑他们的预算、技能、安全状况等。我假设大多数公司在创建SOC之前会首先选择维持MSSP资金，因为这会提供最快的投资回报。SOC是一项长期投资，公司可以从中受益匪浅，但更现实的做法是为大多数公司选择MSSP，以便您能够轻松、经济地了解网络的健康状况。每年制定目标，以确保MSSP仍然与您的公司匹配，或者在开始准备SOC项目时。我希望这篇文章能为所有目前正在评估SOC发展或选择MSSP的组织提供价值。为什么Teceze可以成为你的MSSP？我们位于英国的安全运营中心为高素质的信息安全人员提供全天候的报告和监控。实时跟踪各种事件/日志来源、威胁信息的应用和补救指导。一种标准化的事件管理方法，确保流程尽快备份和运行。保护你努力建设的东西的唯一方法就是在网络安全问题上保持警惕。如果您想了解更多关于您的企业如何从托管服务中获益的信息，请致电我们，我们随时为您提供帮助。决定创建内部安全运营中心（SOC）与选择托管安全服务提供商（MSSP）来解决运营安全问题