“
警惕鼓吹自家 SIEM 是万灵丹的供应商。
Local Pensions Partnership (LPP) 是一家托管着 174 亿英镑资产的公营养老金基金服务提供商,日前宣称正考虑采用第三方安全运营中心 (SOC),并拿出 1.5 万英镑来确定这是不是一个好主意。
在发现阶段分析的合约通告中,LPP 称,所有感兴趣的第三方供应商都应能够展示 SOC 可为 LPP 带来的 “可追踪” 优势视图,并明确此类系统的内部和外部开销。
Local Pensions Partnership:为什么要用SOC?
LPP 目前由其内部安全工作组负责网络安全工作,保护其数据和基础设施。LPP 还为当地政府养老金计划、警察与消防员养老金计划的 60 万名参与人员提供养老金管理服务。
LPP 的安全团队还在合约通告中描述了他们的要求,其项目主管表示:
“
我需要确保持续的主动和反应式威胁检测,以便能够采取行动保护 LPP 技术、数据和域。
发现阶段供应商申请数据提交的截止日期是 2019 年 12 月 10 日。分析需在八周内执行。
SOC类型多样
正如英国国家网络安全中心 (NCSC) 指出的,SOC 类型多样,覆盖整个事件管理全过程。
他们的产品横跨:
流量馈送集成、管理和审查
防护性监视
初步分类与分析
漏洞管理
告警与响应
事件管理
根源分析
补丁 & 修复
关联管理、安全信息与事件管理 (SIEM) 精调
持续改进
密钥管理
NCSC 在一份有用指南中为面临类似情形的公司企业提出了警示:警惕鼓吹自家 SIEM 是万灵丹的供应商……
“
先用脚本和日志证实了自身想法之后,才在 SIEM 中作开发的 SOC 分析师才是好 SOC 分析师。好供应商会有内容开发检查列表和标准申请流程,在您的 SIEM 中解释并实现规则集。别假定您的公司想要听到 SOC 的发现。您的 SOC 检测到了一些东西;谁会关心?您接下来将怎么做?在听取您 SOC 要求之前先回溯事件并验证您可实现每个阶段。确保您想要采取的动作是合法的,在内部策略范围之内。
当 SOC 进入运营阶段,资源开销会逐渐消失,但在供应商学着理解您公司运营方式的同时,会有大量误报产生。
领取专属 10元无门槛券
私享最新 技术干货