Gartner：中国安全运营最佳实践

中国的安全和风险管理（SRM）领导者常常感到他们的安全运营方法不再发挥效果。这是因为多数安全运营中心（SOC）是根据以往的IT环境和威胁环境设计的，因此无法有效地检测和应对当前以及未来的攻击。

中国独特的监管要求和安全市场，为安全运营设定了具体的限制。中国的SRM领导者要取得成功，不能简单地照搬国外安全实践，而要综合考虑本土情况。在中国，业务部门和云服务提供商在安全运营中也发挥着关键作用。因此，安全运营需要转变为更加互联和灵活的运营模式，而非无休止地扩展SOC地规模和范围。

构建并平衡企业的SOC模式

中国政府针对安全运营发布了一系列的法律、方针和标准，SOC可帮助企业机构检测并防御来自内外部的威胁。在规划建立SOC或优化现有SOC时，中国的SRM领导者应考虑需求和业务价值、技术采用范围和SOC模式，以确定SOC的目标。

24/7全天候的内部SOC团队通常需要至少12人，分别负责监控和检测、事件响应和追踪、威胁情报和检测，以及自动化工程（SOC职责实例见图1）。一些企业机构对安全运营有很大需求，但由于安全专业人员短缺、预算紧张、以及24/7全天候安全运营的高昂成本等原因，无法负担完整的内部SOC团队。另一些企业机构虽然意识到自身安全运营不成熟，但由于数据的敏感性或监管限制，无法将功能全部外包。

图1：安全运营中心职责示例

混合SOC是解决上述问题的良策，可通过结合内外部资源来提供完整的SOC功能。

与业务和CPO合作，确保安全运营适应互联互通的IT新环境

数字化时代下的中心化安全管理与去中心化决策

数字化和云扩大了内外部网络资产的边界和攻击面，安全运营的范围和复杂性也随之扩大和提高。传统SOC，无论内部、外包或混合式，都不应局限于单纯的IT相关职责，而应涵盖所有用于支持数字化及云端部署的网络资产。高效的SOC应整合安全资源和能力，同时对职责进行划分，推动业务部门的决策。这就需要制定复杂的团队合作，对角色和责任进行细致的理解和界定（见图2）。

图2：数字时代安全运营的互联方法

 云安全运营模型

在进行云迁移时，SRM领导者应充分了解安全运营职责，并与云提供商明确职责划分。在内部责任方面，SRM领导者应根据企业机构面临的云计算的独特挑战，选择一种安全运营方法，以应对这些挑战。SRM领导者需要确定，云安全运营是要嵌入到常规云运营中，还是嵌入常规安全团队中，或自成一个独立的职能团队。

利用云原生工具和攻击面管理来发展SOC能力

云原生安全工具的集成

安全运营须紧跟变革的步伐，利用软件即服务（SaaS）和云基础设施和平台服务，适应云转型带来的扩张和增长。多数云安全问题是由分散在云中各种服务和技术的错误配置造成的。由于云资源具有弹性、使用期短和可编程的特点，因此云安全运营需高度依赖脚本和自动化。

SRM领导者的优先事项之一就是要选择云安全功能，解决云部署中的可见性、错误配置和特权活动问题。

成熟的SOC需要利用攻击面管理发现问题并确定问题的优先级

对于大多数企业机构来说，中国的数字化转型使其网络资产的数量和复杂性陡增。在中国每年进行的国家级攻防演练中，我们注意到，识别和分类资产以及去除不必要的资产以减少攻击面是重中之重。安全团队可利用新兴的攻击面管理技术，从内部管理的角度和外部攻击者的角度，克服资产可?性和漏洞管理等?期问题。

在真实场景中测试并强化SOC的有效性

表1展示了测试SOC有效性的三种典型方法，旨在发现差距并为扩展提供依据。

这三种测试方法各有长处。SRM领导者应选择适合自身情况和需求的测试方法。自2016年以来，中国的企业机构对于攻防演练越来越重视，并希望将其纳入日常安全运营中。