这家管理170亿英镑养老金的集团想要知道:上还是不上SOC
作者:星期五, 十二月 6, 20190

警惕鼓吹自家 SIEM 是万灵丹的供应商。

Local Pensions Partnership (LPP) 是一家托管着 174 亿英镑资产的公营养老金基金服务提供商,日前宣称正考虑采用第三方安全运营中心 (SOC),并拿出 1.5 万英镑来确定这是不是一个好主意。

在发现阶段分析的合约通告中,LPP 称,所有感兴趣的第三方供应商都应能够展示 SOC 可为 LPP 带来的 “可追踪” 优势视图,并明确此类系统的内部和外部开销。

Local Pensions Partnership:为什么要用SOC?

LPP 目前由其内部安全工作组负责网络安全工作,保护其数据和基础设施。LPP 还为当地政府养老金计划、警察与消防员养老金计划的 60 万名参与人员提供养老金管理服务。

LPP 的安全团队还在合约通告中描述了他们的要求,其项目主管表示:

我需要确保持续的主动和反应式威胁检测,以便能够采取行动保护 LPP 技术、数据和域。

发现阶段供应商申请数据提交的截止日期是 2019 年 12 月 10 日。分析需在八周内执行。

SOC类型多样

正如英国国家网络安全中心 (NCSC) 指出的,SOC 类型多样,覆盖整个事件管理全过程。

他们的产品横跨:

  • 流量馈送集成、管理和审查
  • 防护性监视
  • 初步分类与分析
  • 漏洞管理
  • 告警与响应
  • 事件管理
  • 根源分析
  • 补丁 & 修复
  • 关联管理、安全信息与事件管理 (SIEM) 精调
  • 持续改进
  • 密钥管理

NCSC 在一份有用指南中为面临类似情形的公司企业提出了警示:警惕鼓吹自家 SIEM 是万灵丹的供应商……

先用脚本和日志证实了自身想法之后,才在 SIEM 中作开发的 SOC 分析师才是好 SOC 分析师。好供应商会有内容开发检查列表和标准申请流程,在您的 SIEM 中解释并实现规则集。别假定您的公司想要听到 SOC 的发现。您的 SOC 检测到了一些东西;谁会关心?您接下来将怎么做?在听取您 SOC 要求之前先回溯事件并验证您可实现每个阶段。确保您想要采取的动作是合法的,在内部策略范围之内。

当 SOC 进入运营阶段,资源开销会逐渐消失,但在供应商学着理解您公司运营方式的同时,会有大量误报产生。

相关阅读

 

SOC的四大弱点及其应对方案

如何避免踩到 SOC 运营中的六个“大坑”

 

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章