Gartner发布安全运营中心（SOC）模型指南：SOC的四个主要目标、所需的技术能力和运营团队

为组织选择正确的安全运营中心模型不仅仅是雇用团队或服务提供商的问题。在选择某种形式的混合模型之前，安全和风险管理领导者必须仔细考虑运营责任并了解风险。

主要发现

• 对于大多数组织来说，仅由内部员工扩展为安全运营中心 (SOC)即使不是不可能，也是很困难的。

• 一些 SOC 任务是战略性的，例如由高级调查员、事件响应经理和红队测试员角色执行的任务。它们通常最好由了解业务需求和安全问题的内部员工来执行。

• 其他 SOC 任务是战术性的，例如构建常见攻击的检测内容。它们通常最好由更大的外部团队来执行，这样可以更高效、更大规模、更长时间地完成这些任务。

• 与安全服务提供商合作的组织通常认为他们的提供商正在实现既未签订合同也不属于其责任的目标。

建议

在设计 SOC 时，安全和风险管理 (SRM) 领导者应该：

• 在构建SOC 模型时，将他们的威胁检测需求作为要求。

• 构建一个 SOC 模型，在致力于战略目标的内部团队和致力于战术目标的服务提供商之间取得最佳平衡。

• 使用服务提供商来扮演最适合大规模执行的角色或需要特定威胁知识、运营技术或工具管理技能的角色。

• 使用内部员工担任涉及安全知识和业务运营的角色，例如高级调查员、事件响应经理和红队测试员。

介绍

构建 SOC 是一个永无止境的旅程，因为需求不断变化。它需要持续的增长和分析来确保 SOC 的性能不会下降并且其成本不会超出预算。

选择混合 SOC 是帮助增强功能、同时管理规模和成本的一种方法。混合 SOC 是指由多个团队（包括内包团队和外包团队）在 SOC 正常运行所需的活动中发挥作用的一种 SOC。哪些团队、角色、工作和活动最好保留在内部或外包，这个问题很复杂。构建SOC 模型可以帮助您回答这个问题并确保混合 SOC 达到良好的平衡。

SOC 模型定义了运行 SOC 时内部团队和外部服务提供商的使用变化的策略。它确保运营 SOC 所需的所有角色都分配给最适合履行相关职责的人员。

有效的 SOC 模型可以让 SRM 领导者根据业务优先级、可用技能集和预算来分配资源；内包和外包相结合是最常见的方法。SOC 模型允许进行战略决策，例如将通用 SOC 任务作为外包的关键目标，同时在内部配备更敏感的职能人员。还有一些任务非常专业，以至于大多数组织都很难证明在工资单上安排人员来执行这些任务是合理的。

图 1 显示了简化的 SOC 模型。经理必须评估 SOC 的目标以及实现这些目标所需的技术能力。技术能力需要具有特定才能和能力的人。运营团队的组建方式将直接影响SOC的整体绩效。

图 1：简化的安全运营中心模型

SRM领导者经常致电 Gartner，讨论其 SOC 服务提供商的问题或 SOC 的整体规模及其性能。但问题往往不在于提供商。相反，问题在于客户缺少 SOC 模型或模型不完整。

在很多情况下，客户对SOC服务不满意的根本原因并不是他们的服务提供商。而是他们对于SOC的运作没有模型策略。

分析

SOC 模型的主要目的是通过找到内部员工和外部供应商之间的适当平衡来创建混合 SOC，以填补满足 SOC 所有目标所需的所有角色。图 2 扩展了简化的 SOC 模型。

图 2：扩展的安全运营中心模型

使用 SOC 模型的关键

定义 SOC 模型目标和角色

确保明确定义目标和角色。在此阶段，将资源合理分配给角色和目标是最重要的。您可以根据需要赋予个人多个角色，或指定一个团队来执行单个角色。

以下是一些在使用模型构建混合 SOC 之前确保模型完整的提示：

• 不遗漏目标：

o   通常，服务合同不会涵盖测试或增长等目标，或者创建新检测内容的能力可能非常有限。如果一个提供商没有为您实现目标，您要么必须自己实现，要么寻找另一家提供商来实现。跳过任何目标都会导致绩效不佳。

• 为每个目标指定具有适当技能的专门角色：

o   必须通过雇用内部员工或聘请服务提供商来为实现目标分配最佳角色。通常，一个角色被假定为某个目标承担职责，但由于缺乏技能或责任，它无法做到这一点。

• 目标处理者之间有明确的界限，但确保有共同的意识：

o   使用不同的提供商或团队来处理目标的混合模型面临的挑战是，很难灌输以结果为导向的思维方式。外部提供商或内部团队经常会出现“狭隘视野”——只关注自己的个人目标——而忽视了 SOC 性能的全局。您必须确保每个提供商或团队都了解其对相邻目标的影响，而不仅仅是其自身的影响。

使用 SOC 模型构建混合 SOC

考虑到您的 SOC 要求和目标，是时候开始使用该模型构建混合 SOC 了。图 3 显示了该模型如何帮助您决定角色的填补方式。SOC 经理确定哪种类型的服务可以填补所需的角色、存在哪些角色差距以及哪些角色最适合由内部团队成员执行。当就何时使用哪个团队做出正确决策时，混合 SOC 可以提供最佳结果。

不要指望您的服务提供商会关心您的 SOC 模型。他们通常更关心 SOC 本身的技术或操作方面。他们主要关心攻击是什么样的、如何构建检测、什么工具效果很好、如何调查攻击以及如何规定应对攻击的操作。

图3：使用安全运营中心模型

SOC性能是SOC模型是否均衡的重要指标。将 SOC 操作视为可能性的连续体。在一种极端情况下，您拥有一支 100% 内部团队来实现所有目标；另一方面，您将所有 SOC 责任外包给服务提供商。这两个极端都不是理想的。SOC 经理应根据安全需求以及所需的整体 SOC 性能考虑如何填补必要的角色。

以下是在为 SOC 模型做出与角色相关的决策时需要考虑的一些一般准则。

内部聘用的理由：

• 有一些独特或不常见的公司特定任务。

• 履行职责需要敏感的内部知识。

• 需要敏感的沟通。

• 存在高风险/高价值问题。

• 处理特定的安全问题对于组织具有战略重要性。

对外承包的原因：

• 该任务属于常见类型，外部团队经常处理该任务。

• 任务的执行需要比内部可用的资源更多的资源。

• 这项任务很平凡，是自动化的主要候选者。

• 所需的技能是高度专业化的，拥有这些技能的人要么负担不起，要么无法雇用。

• 这项任务的频率不高意味着在内部完成它是不可行的。

• 内部缺少完成该工作所需的工具，但可能包含在服务合同中。

SOC模型组件说明

SOC 的四个主要目标

每个 SOC，无论其规模或成熟度如何，都需要满足四个主要目标才能成功执行。它如何准确地满足每个目标取决于可用的技术能力，并且根据客户的规模、成熟度和安全需求而有很大差异。但就模型而言，重要的是所有四个目标都得到解决，没有一个目标被忽视。例如，寻求有助于检测和响应的服务，但却忽视了对暴露管理或验证的依赖，这是一个常见的错误。

SOC 模型中使用的四个主要目标是：

• 威胁识别

• 曝光和验证

• 监控检测

• 响应

1、威胁识别

作为一个目标，构建 SOC 模型的组织应该采用编程方法来使用威胁情报。了解威胁情报对其他目标的依赖非常重要，例如测试和验证，以及质量监控的技术基础和正确响应所需的知识。有关如何构建威胁情报计划目标的详细信息，请参阅定义威胁情报要求以提高 SecOps 效率。

2、曝光和验证

为了确定优先级并实施质量监控和检测，SOC 必须了解存在哪些资产及其暴露程度或一般易受攻击的程度。由于威胁形势总是在变化，暴露和验证的目标应包括考虑持续测试，以及更深入地研究已知的风险领域。有关如何构建暴露和验证目标的详细信息，请参阅实施持续威胁暴露管理 (CTEM) 计划。

3、监控检测

建立监测和检测实践需要仔细考虑和规划。永远没有足够的时间或金钱来监控每一个威胁，因此必须选择在哪里放置检测技术、针对哪些威胁以及什么样的响应时间。有关使目标与功能和角色保持一致所需的许多规划决策的讨论。

4、响应

应从避免影响的角度考虑响应目标。攻击已经发生，希望能够尽早准确地检测到。响应目标不仅应考虑事件对安全的影响，还应考虑对整个组织的影响。良好的响应实践将具有内部或通过外部合同的比例能力，以执行比例响应所需的行动，以减少攻击的影响。

技术能力

为了实现 SOC 的目标，需要对安全技术或服务进行投资。它们的类型、深度、与特定威胁类型的一致性以及位置会影响 SOC 的范围和成本。

以下是五种技术能力类别中每一种技术能力类别的要求示例：

• 威胁情报：

o   威胁内容订阅

o   深网和暗网活动监控

o   情报策划和管理

o   威胁情报平台

o   反情报和对手生成的情报

• 识别、评估、测试：

o   外部攻击面管理 (EASM)

o   漏洞扫描和优先级排序

o   攻击路径映射

o   破坏和攻击模拟（BAS）

o   渗透测试即服务 (PTaaS)

o   自动化红队工具

• 检测堆栈运营：

o   安全信息和事件管理 (SIEM) 平台

o   端点检测和响应 (EDR) 平台

o   网络检测和响应 (NDR) 平台

o   扩展检测和响应 (XDR) 平台

o   其他点检测系统

• 调查与狩猎：

o   SIEM 平台

o   大数据/数据湖平台

o   EDR 平台

o   编排平台

• 遏制和取证：

o   案件管理平台

o   专门的调查和证据收集工具

运营团队

任何用于实现 SOC 目标的技术都需要运营团队来运作。该团队应由多个角色组成，每个角色都有独特的职责。将角色包含在 SOC 模型中可确保所有必要的角色都存在，并通过服务合同在内部或外部分配给某人。因此，在检查服务合同时，将角色合并到 SOC 模型中会很有帮助。

服务提供商很少（如果有的话）列出其提供的角色。然而，合同检查和供应商询问，或者可能的服务水平目标语言，可以确保提供商履行其合同目标所需的角色。例如，如果提供商在合同中随意声明它将识别新威胁并创建新警报，请要求其描述其威胁研究和警报内容创建团队，因为两者都是必需的。

运营团队中的关键角色包括：

• 经理：收集安全需求，定义 SOC 策略来实现目标，设置性能指标，构建 SOC 模型，并为利益相关者准备报告。

• 3 级高级分析师：了解攻击并进行调查，从而提出可行的响应建议；也可能是协调响应行动的贡献或领导成员。

• 1 级/初级分析师：负责警报管道管理以及与监控相关的基本工作流程和任务。

• 威胁专家：“网络奥运选手”，不仅了解攻击检测，还关注情报报告以了解新情况。此角色通常对于运行测试或评估工具以及为创建警报所需的检测逻辑做出贡献至关重要。

• 工程师：保持威胁检测所需的控制和工具正常运行。根据检测工程师的设计，履行此角色的人员不一定是威胁专家，主要负责更改工具、应用补丁或执行使检测堆栈正常运行所需的任何其他任务。

• 检测工程师：设计检测威胁专家推荐的警报所需的检测堆栈。这需要了解如何集成和分析来自多个工具的遥测以获得所需的结果。检测工程师应建议何时修改、升级、添加或更换堆栈组件。