Stacy Collett

面對(duì)合并、新業(yè)務(wù)創(chuàng)新以及不斷變化而且越來越多的攻擊，安全行動(dòng)中心（SOC）應(yīng)怎樣做好準(zhǔn)備。

在2017年6個(gè)月的時(shí)間里，首席信息安全官Eric Schlesinger眼看著他的公司北極星阿爾法（Polaris Alpha）在經(jīng)歷了三家公司合并以及三家公司被收購后，從150名員工急速擴(kuò)張到1500名員工。Schlesinger面臨嚴(yán)峻的挑戰(zhàn)，公司成為網(wǎng)絡(luò)攻擊的主要目標(biāo)，因?yàn)樵摴緸閲?、情?bào)和安全客戶（包括聯(lián)邦政府）提供任務(wù)解決方案。

Schlesinger說：“這種快速的IT整合在一定程度上也伴隨著固有的風(fēng)險(xiǎn)。發(fā)展如此之快，有時(shí)安全部門不一定能跟上IT部門的步伐?！彼鯓硬拍軒е也煌墓荆?個(gè)不同的網(wǎng)絡(luò)和安全部門，實(shí)現(xiàn)統(tǒng)一、專門的安全功能，而且當(dāng)北極星阿爾法公司網(wǎng)絡(luò)擴(kuò)展時(shí)，還能兼容和擴(kuò)展安全職能？

與大多數(shù)中小型企業(yè)一樣，被收購企業(yè)的網(wǎng)絡(luò)安全依賴于對(duì)工具的投入。但是整合來自六家公司的多種工具是行不通的。

Schlesinger說：“我們很早就意識(shí)到，工具只是投入的一部分，但并不能推動(dòng)我們的安全工作。只有全面的考慮人員、方法、工作員工和流程，才能使我們從500人擴(kuò)展到1500人，而現(xiàn)在我們是15000人——Parsons于2019年5月收購了我們?！?/p>

需要策略

Schlesinger在最初的幾個(gè)月里首先是熟悉新組織。他有合適的人嗎？有哪些工具可以重新調(diào)整使用？

接下來，公司的綜合網(wǎng)絡(luò)安全部門采用了標(biāo)準(zhǔn)的美國國防部（DoD）/國防信息系統(tǒng)局（DISA）模型，并將其應(yīng)用于公司保護(hù)企業(yè)網(wǎng)絡(luò)的過程中。他說：“這創(chuàng)建了一種員工組織結(jié)構(gòu)，明確生態(tài)系統(tǒng)必須怎樣工作，并為個(gè)人提供了明確的目標(biāo)、明確的程序和工作流程?！?/p>

這次大規(guī)模合并只是代表了安全部門擴(kuò)張的極端情況，但企業(yè)仍然需要快速擴(kuò)展安全職能的能力，其原因不僅僅是并購、新業(yè)務(wù)創(chuàng)新或者與客戶交互的新方法等。

德勤風(fēng)險(xiǎn)和金融咨詢部主管兼網(wǎng)絡(luò)風(fēng)險(xiǎn)咨詢和實(shí)施負(fù)責(zé)人Emily Mossburg表示：“我們處在高度相互依存的環(huán)境中，被攻擊的可能性非常大，而且攻擊面不斷變化和不斷增長，從網(wǎng)絡(luò)角度看，要開展的工作的范圍和規(guī)模都在不斷擴(kuò)大。”

請(qǐng)參考首席信息安全官和安全顧問提供的以下建議，幫助你組織好安全運(yùn)營的擴(kuò)展。

1.建立“戰(zhàn)斗節(jié)奏”

DoD模型的采用為Schlesinger的部門建立了“戰(zhàn)斗節(jié)奏”，使其工作由被動(dòng)變?yōu)橹鲃?dòng)。聯(lián)合安全行動(dòng)中心（SOC，Security Operations Center）現(xiàn)在有4個(gè)“象限”——保護(hù)、檢測(cè)、響應(yīng)和維持，每一象限分配了2個(gè)全職網(wǎng)絡(luò)防御人員。

在“保護(hù)”象限中，分析師進(jìn)行風(fēng)險(xiǎn)評(píng)估和漏洞管理。

檢測(cè)小組的分析人員通過警報(bào)或者手動(dòng)檢查日志來發(fā)現(xiàn)被攻破的跡象，尋找任何異常情況。

Schlesinger說：“在最初的15分鐘內(nèi)，如果他們認(rèn)為異常情況比較嚴(yán)重，應(yīng)進(jìn)一步作出反應(yīng)，那么他們就將其發(fā)送給響應(yīng)小組。”我們的目標(biāo)是迅速把被攻破的事件送到安全事件處理鏈上，這樣，檢測(cè)小組就可以繼續(xù)深入尋找其他問題——因?yàn)榉缸锓肿咏?jīng)常利用較小的安全事件作為轉(zhuǎn)移注意力的策略，在安全部門全神貫注地處理這些小事件時(shí)，發(fā)起更大的攻擊。然后，響應(yīng)分析人員采取一切必要措施來阻止威脅。

他說：“至關(guān)重要的是要有正確的檢測(cè)功能，即，查找、記錄和移動(dòng)。如果做不到這一點(diǎn)，就堵不上安全漏洞?！?/p>

最后，維持小組的工程師支持這3個(gè)功能，保證所有工具和基礎(chǔ)設(shè)施都能夠很好的維護(hù)和運(yùn)行。

當(dāng)然，使用了所有的傳統(tǒng)安全工具——端點(diǎn)保護(hù)、入侵檢測(cè)和預(yù)防、數(shù)據(jù)丟失預(yù)防、傳統(tǒng)防火墻等，但Schlesinger所做的最關(guān)鍵的投入是其安全事件和事件管理（SIEM）工具?！拔覀兪占羞@些日志，分析它們，然后決定我們是否有被攻破的地方，是否需要對(duì)此做出反應(yīng)——真的是萬事開頭難?！?/p>

Parsons在5月份收購了北極星阿爾法公司，新的網(wǎng)絡(luò)防御模式將作為Parsons公司安全部門內(nèi)部員工結(jié)構(gòu)的一部分。Schlesinger說：“Parsons的網(wǎng)絡(luò)比北極星阿爾法大10倍，但通過完善的流程和方法，再加上合適的工具，我不用把部門規(guī)模擴(kuò)大1倍或者3倍了。”

2.削減工具

Kevin Richards是埃森哲全球安全戰(zhàn)略負(fù)責(zé)人，他幫助重組和擴(kuò)大了一家制藥公司的安全運(yùn)營部門，這家公司收購了另一家藥廠，該藥廠是從第三家仍與其有服務(wù)關(guān)系的制藥公司分拆出來的。

Richards現(xiàn)在是Marsh有限公司的董事總經(jīng)理兼網(wǎng)絡(luò)風(fēng)險(xiǎn)全球主管，他說：“過于復(fù)雜不利于安全。我們都同意不能有3個(gè)SIEM和四種防病毒軟件以及三類不同的身份管理產(chǎn)品，但是每個(gè)部門都有自己喜歡的供應(yīng)商。我們想要共同的、全局性的、簡單的產(chǎn)品，所以當(dāng)我們確定了2～3種競爭產(chǎn)品后，就有了共識(shí)，可以開始選擇了?！?/p>

聯(lián)合小組消減了近60%的安全工具。額外的好處：Richards說，消減了工具后，也就不需要多個(gè)冗余的許可，節(jié)省了100多萬美元。

3.人員重新定位

作為收購的一部分，母公司創(chuàng)建了一個(gè)新的層次結(jié)構(gòu)，以便更好地與新業(yè)務(wù)相結(jié)合，從而開辟了許多新的產(chǎn)品領(lǐng)域和地區(qū)。這也給了Richards一個(gè)機(jī)會(huì)，面向未來重新組建安全部門——除了兩名首席信息安全官中的一個(gè)，不會(huì)失去任何網(wǎng)絡(luò)安全人員。

Richards說：“每個(gè)人都被同化了，但他們的角色不一定相同。例如，我們不需要2個(gè)SecOps主管，所以一個(gè)負(fù)責(zé)體系結(jié)構(gòu)，另一個(gè)負(fù)責(zé)更多的運(yùn)營任務(wù)?！?/p>

Richards說，他們還創(chuàng)造了一些新職位，包括一位網(wǎng)絡(luò)創(chuàng)新主管，他負(fù)責(zé)運(yùn)用新技術(shù)，明確在我們的新架構(gòu)中怎樣使用這些技術(shù)。”

隨著公司在全球的擴(kuò)張，他們還圍繞政府和監(jiān)管關(guān)系創(chuàng)造了一個(gè)新職位，以便更好地把握全球制藥行業(yè)的所有新數(shù)據(jù)保護(hù)和隱私監(jiān)管要求。

4.考慮外包

網(wǎng)絡(luò)安全的廣度和范圍不斷擴(kuò)大，往往會(huì)超出很多企業(yè)的安全能力。Mossburg說，這些企業(yè)應(yīng)該考慮新的渠道來彌補(bǔ)安全漏洞，包括第三方安全提供商。

Mossburg說：“很多企業(yè)認(rèn)為他們不一定要維護(hù)他們所有的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，我看到很多人都有了同樣的網(wǎng)絡(luò)意識(shí)。”借助于承包商，或者外包所有功能，可以更高效，而且通常服務(wù)水平會(huì)更高。

一份2019年德勤關(guān)于網(wǎng)絡(luò)未來的調(diào)查顯示，企業(yè)更傾向于通過第三方來幫助解決安全問題。將近2/3的首席信息安全官（65%）外包了21%～30%的網(wǎng)絡(luò)運(yùn)營業(yè)務(wù)。外包給第三方的主要網(wǎng)絡(luò)安全工作包括減小攻擊面等漏洞管理職能，還有威脅搜索和威脅情報(bào)、安全培訓(xùn)和安全意識(shí)、內(nèi)部威脅檢測(cè)和應(yīng)用程序安全，等等。

報(bào)告稱，很多企業(yè)在很多方面都需要一點(diǎn)幫助。為制訂全面的網(wǎng)絡(luò)安全計(jì)劃，企業(yè)應(yīng)與供應(yīng)商、行業(yè)協(xié)會(huì)、政府機(jī)構(gòu)、學(xué)術(shù)機(jī)構(gòu)、研究人員和其他商業(yè)伙伴密切合作。

5.涉及整個(gè)企業(yè)

為了檢測(cè)和阻止網(wǎng)絡(luò)攻擊，安全部門需要企業(yè)其他部門的幫助。Mossburg說：“它不能獨(dú)立運(yùn)作。在安全部門之外，面對(duì)風(fēng)險(xiǎn)，應(yīng)教育、培訓(xùn)和推動(dòng)與風(fēng)險(xiǎn)相關(guān)的意識(shí)，并建立某種程度的問責(zé)制?！?/p>

Schlesinger說：“所有這些步驟都要求安全部門與業(yè)務(wù)部門之間建立良好的關(guān)系。有時(shí)你必須隔離某些處理敏感信息的部門，但我們是一家客戶服務(wù)機(jī)構(gòu)。我們不想成為‘業(yè)務(wù)預(yù)防部門，只會(huì)說不，而是要教育員工，并滿足業(yè)務(wù)需求。要知道工具總是變來變?nèi)サ?，重要的是要投資于人?！?/p>

Stacy Collett是《計(jì)算機(jī)世界》、CSO和《網(wǎng)絡(luò)世界》的特約撰稿人，他的文章涉及各種安全和風(fēng)險(xiǎn)問題。

原文網(wǎng)址

https：//www.csoonline.com/article/3430718/built-to-scale-5-tips-for-structuring-your-security-organization-for-growth.html