Mimecast Limited, công ty bảo mật dữ liệu và email, đã phát hành báo cáo mới nhất từ Tổ chức nghiên cứu khả năng phục hồi không gian mạng (CR Think Tank) nêu bật bốn xu hướng xây dựng và vận hành Trung tâm điều hành bảo mật (SOC). Trong báo cáo có tiêu đề, Chuyển đổi SOC: Xây dựng Hoạt động An ninh cho ngày mai, hôm nay. Các thành viên CR Think Tank cân nhắc những lợi ích và thách thức của việc xây dựng và duy trì một SOC so với thuê ngoài. Nhóm cũng đưa ra các mẹo quan trọng có thể hành động để xây dựng một mô hình thành công cho bất kỳ tổ chức quy mô nào.
CR Think Tank đã đồng ý rằng những gì hiệu quả với một tổ chức này có thể không hiệu quả với tổ chức khác và đã xác định các xu hướng sau là yếu tố chính cần xem xét khi xây dựng chiến lược cho tổ chức của bạn:
- Yếu tố con người – nâng cao kỹ năng là chìa khóa
Mặc dù khoảng cách kỹ năng rõ ràng là một thách thức và có vẻ như không có tổ chức nào sẽ có đủ nhân sự, nhưng sự thiếu hụt này cho thấy cơ hội để nâng cao năng lực lao động hiện có của các công ty thông qua các học viện đào tạo hoặc luân chuyển công việc. Claus Tepper, người đứng đầu hoạt động an ninh mạng Absa Group, cho biết: “Động lực chính đối với chúng tôi là kỹ năng. “Và tôi nghĩ rằng Nam Phi, cũng như mọi nơi khác, về cơ bản là thách thức để có được những người phù hợp.” Để giải quyết vấn đề đó, Absa đã thành lập một học viện để phát triển và đào tạo nhân tài với nhận thức rằng phải mất nhiều năm để một nhóm trở nên hoàn toàn hiệu quả với SOC. Xây dựng và Vận hành Trung tâm Điều hành
Trong báo cáo, tất cả các thành viên của Think Tank đã nhấn mạnh tầm quan trọng của việc đảm bảo các nhà phân tích và kỹ sư của SOC được điều chỉnh phù hợp với chiến lược an ninh mạng, quy trình kinh doanh và hoạt động kinh doanh tổng thể của công ty. Malcolm Harkins, Giám đốc An ninh và Tin cậy tại Cymatic, tin rằng cấu trúc nhóm có thể giúp nâng cao kỹ năng: “Tôi tin rằng cấu trúc thúc đẩy hành vi,” Harkins nói. “Chúng tôi đã có những cách sáng tạo để đưa mọi người ra khỏi công việc hàng ngày của họ, chẳng hạn như luân chuyển công việc giữa các nhóm và tham quan nhà máy để đảm bảo an ninh và quản lý chỉ với chi phí thời gian và đi lại, bởi vì khi mọi người hiểu được tầm quan trọng và nhu cầu riêng của một chức năng, chúng thường bị ấn tượng. “
- Tự xây dựng so với thuê ngoài – các mối quan hệ là vấn đề
Phụ thuộc vào nhu cầu kinh doanh có thể tự xây dựng hệ thống màn hình và điều khiển trung tâm điều hành an ninh hoặc thuê ngoài để giám sát vận hành, các nhà cung cấp bên thứ 3, giống như trong các lĩnh vực khác của doanh nghiệp, có thể cực kỳ có giá trị hoặc ngược lại, cản trở tiến độ. Khi mối quan hệ thuê ngoài trở thành quan hệ đối tác an ninh mạng, nhóm SOC bên ngoài có thể là đối tác chính trong việc giải quyết các vấn đề và định hình nhu cầu bảo mật lâu dài của tổ chức. Tuy nhiên, việc thiếu vắng sự hiện diện thực tế tại văn phòng có thể gây ra các vấn đề về thông tin sai lệch hoặc sự tin cậy, gây bất lợi cho công việc kinh doanh.
Các thành viên CR Think Tank nhấn mạnh rằng bất kể nhóm SOC là nội bộ hay bên ngoài, trách nhiệm của CISO là thể hiện giá trị của nhóm SOC. Vì chức năng nhóm đó thường không được coi là năng lực cốt lõi, việc xây dựng mối quan hệ với đội ngũ lãnh đạo điều hành cấp cao sẽ đảm bảo CISO có những gì họ cần để thành công.
- Công nghệ và tự động hóa – tránh truy đuổi an ninh
Tự động hóa có tiềm năng thay đổi cuộc sống của một nhà phân tích SOC. Đáng chú ý là tăng năng suất và giảm thời gian trung bình để phân giải (MTTR). Các chuyên gia khuyên bạn nên xây dựng tự động hóa vào mọi dự án để biến nó thành một phần trong cấu trúc của tổ chức. Khi người ta nghĩ về nó từ rất sớm, tự động hóa trở thành một phần tự nhiên của mọi quy trình. Shawn Valle, Giám đốc An ninh Thông tin tại Rapid7 đồng ý, nói rõ: “Các nhà phát triển phần mềm xây dựng dựa trên API và sau đó xây dựng giao diện người dùng trên các API, điều này đáng để các nhóm SecOps khám phá. Chúng tôi tin rằng chiến lược xây dựng tự động hóa ngay từ đầu sẽ làm cho các nhà phân tích trở nên mạnh mẽ hơn và tốt hơn so với việc sử dụng ít người hơn ”. Xây dựng và Vận hành Trung tâm Điều hành
Báo cáo nhấn mạnh tiềm năng của tự động hóa trong SOC nhưng cảnh báo chống lại việc sử dụng quá mức vì nó có thể làm cho các hành động của tổ chức dễ dự đoán hơn và do đó dễ bị các tác nhân đe dọa tấn công hơn. Sam Curry, Giám đốc An ninh tại Cybereason cho biết: “Bản thân tự động hóa là một dạng lỗ hổng bảo mật. “Bạn phải kiểm tra điểm mù của mình theo khoảng thời gian giả ngẫu nhiên để xem ai đang ẩn náu ở đó vì máy sẽ trở nên có thể đoán trước và do đó có thể khai thác được. Vì vậy, sứ mệnh không phải là tự động hóa vì lợi ích của nó, mà là làm cho con người hiệu quả hơn, nâng cao giá trị đầu ra của họ mà không làm suy yếu toàn bộ. ”
CR Think Tank đồng ý rằng hoạt động kinh doanh và bảo mật cần phải ở trong tình trạng chủ động bất cứ khi nào có thể và tránh sự rượt đuổi của an ninh.
- Quy trình và Hiệu quả – kế hoạch là chìa khóa thành công?
Cuối cùng, báo cáo nhấn mạnh tầm quan trọng của sự gần gũi về thể chất khi giao dịch với các nhóm công nghệ. Vị trí ngồi trong văn phòng có thể tạo ra sự khác biệt lớn – nhiều công ty chọn đặt các đội công nghệ và an ninh của họ cạnh nhau để thúc đẩy sự sáng tạo, nhanh nhẹn và giao tiếp tốt hơn. Ví dụ: bố trí các nhóm SOC bên cạnh nhóm sản phẩm có thể cải thiện hiệu quả về cách họ lặp lại và xây dựng các công cụ mới. Tuy nhiên, đối với những nhân viên làm việc từ xa, thường xuyên liên lạc với các nhóm nội bộ để đảm bảo sự thống nhất về các ưu tiên và mục tiêu là chìa khóa quan trọng.
Bất kể thiết lập Trung tâm điều hành SOC của một tổ chức là gì, yếu tố quan trọng nhất là các mối quan hệ, ghi chú báo cáo và các nhóm SOC, dù là nội bộ hay bên ngoài, đều cần được đầu tư vào sứ mệnh và các mục tiêu cốt lõi của tổ chức. CR Think Tank cho biết: Với những cá nhân tài năng đang thiếu hụt, đào tạo, nâng cao kỹ năng và sử dụng công nghệ để đạt được hiệu quả là chìa khóa để chuyển đổi nhóm SOC của bạn.