返回目录:经济新闻
E安全3月9日讯 惠普企业(Hewlett-Packard Enterprise,HPE)近期发布2017年安全运维报告。报告称绝大多数安全运维中心(Security Operations Centers, SOC)还不够健全与完善,目前暂无法充分保护组织机构免受网络攻击。
自2008年以来,HPE安全智能和运维咨询(SIOC)已对137个SOC的能力和成熟度进行了183次深度评估。成熟度评估对象包括公共和私有部门的组织机构、所有垂直行业的企业以及托管安全服务提供商。
从地理位置来看,这些对象分布在9大地区,6大洲的31个国家,这些数据足以体现全球网络防御和企业的安全运维状况。
过去五年,HPE发现26.61%的网络防御组织机构的成熟度不到1分(安全运维成熟度模型SOMM,具体评级和描述见下图),比去年降低1%。这些组织机构的安全运维工作是临时性的,不具备流程记录和归档等标准操作流程,其安全和风险管理能力亦未达到相应的水平。
HPE将SOMM(安全运维成熟度模型)分为5级(0-5):
经过今年的评估之后,HPE对比过去5年发现,这些数据在2年内提升了5%,比去年提升3%,18%的评估对象正努力或已经达到了推荐的成熟度水平,逐渐满足业务目标。
各地区SOMM得分:
过去五年行业SOMM(安全运维成熟度模型)得分:
过去五年技术、流程、人员和业务的SOMM得分:
SOC很难吸引并留住IT安全人才是致SOMM低的主要原因:
根据该报告(第四次年度评估报告),82%的安全运维中心成熟度仍低于目标水平,其主要原因是SOC很难吸引并留住IT安全人才。
外媒知名编辑唐·泰纳特与HPE软件的产品营销副总裁钱德拉·雷根讨论了这份报告。
钱德拉·雷根认为安全运维中心要达到要求的水平,任重道远:
15年前,美国的安全运维刚开始是为了满足合规性。自从美国零售企业Target遭遇黑客攻击以来,越来越多的安全运维中心将保护企业作为主要目标,而不仅仅是为了满足合规要求。这等同于从头开始建立ERP系统,要实现这样的转变相当不易。
这一点,我国略有不同,各行业SOC目前是合规性与保护企业同时进行,这项工作的进度和效果或许若干年后才会有相关分析结果。
SOC必须从企业角度思考哪些问题?
1、真正的目标是什么?
2、重要的数据在哪里?
3、要保护什么?
4、组织机构愿意承担的风险有哪些?
这是从企业角色出发考虑安全运维需要与IT合作收集的数据,随后创建用例,梳理这些数据集的现状;建立便于进行监控和调查的标准操作流程;进而聘用胜任的分析师。
SOC中的人员存在的误区:
报告中的一个发现表明:“仅关注狩猎”的计划会降低SOC的成熟度。这类计划仅关注具有负面影响的团队。当被问及如何界定这种方法得以广泛采用时,钱德拉·雷根解释如下:
这些SOC并不复杂,也许由5或8个成员组成,或许配备2个兼职人员,他们需要执行某类安全运维。那么从何开始?
首先,会有网络人员发现问题,或发现大量受感染的PC。他们迅速制定处理方案,几个安全分析师会试图应对、追溯并调查发生的事情,然后就会陷入永无止境的循环。
一旦解决了其中一个问题,你可能会感觉自己成了英雄。
一旦进入这种模式,短期内,你可能很有成就感。但现状却是,你在事件发生后专注的是解决问题,并非积极保护组织机构。
这就是SOC不太成熟的地方,我们试图提高它们的成熟度,试图增补人员,防止陷入这种应对模式的陷阱。
不少安全运维小组的真正工作并不是安全运维,他们只是在“狩猎”。
去年10月广为人知的一件事:HPE员工的手提电脑被入侵,导致美国海军13.4万现役和已退役海军士兵的姓名和社保号码遭泄露。钱德拉·雷根表示这是个耻辱,希望到HPE发布2018年国家安全运维报告时,能分享从这起事件中吸取的经验教训。
E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com