在rsa2012大會上,有乙個技術研討會,題目是建立soc(安全運營中心),講演者是前bt的乙個夥計,現在已經在甲方幹活了。他的講演從建立soc所需的技術、流程和組織三方面進行了闡述,並著重說到了自建和外包soc的選擇問題。
大體的提綱如下:
1)soc規劃注意事項:全面審視現有的流程;選址;資源投入計畫;培訓計畫;為變化做好計畫——「不要等到萬事俱備了才開幹」,呵呵,這跟之前intel的soc構建最佳實踐是一致的(don't put everything prepared ahead)。
2)選擇siem工具的注意事項:siem是乙個工具,能夠協助分析師,提公升工作效率,但是不能替代分析師。更深層次地,要釐清的是關於自動化和人的關係的問題。也就是說是否存在乙個工具,能夠自動地進行事件分析,從而取代分析師?這篇**早就給了我們乙個回答。這個問題在國內更加容易讓人迷惑。呵呵,這下終於有了引證。
3)自建還是外包soc?本質上取決於需求分析。而單純比較兩種建立soc的方式,則各有優缺點。講演者重點闡述了外包soc的選取原則。例如,你應該詢問mssp的幾個關鍵問題包括:服務人員、服務的穩定性、規模、效能指標、sla。另外,對於自己,還應該考慮清楚自身的服務轉換能力、以及更換**商的策略。最後,對於mssp的宣傳口號要進行甄別,最好的辦法就是提前驗證,例如7×24響應(你晚上2點打**真的有人接嗎?),實時分析(真的是實時嗎?),報告真正重要的事件(要驗證報警的頻度、誤報漏報情況)。
4)人的問題——soc分析師。談到了soc分析師的崗位技能要求,以及如何留住好的soc分析師。呵呵,如果你在美國登入招聘**,查詢soc分析師的工作崗位,會有一大堆招聘啟事,很多公司常年缺人。
5)流程的問題——很強調「文件化」的工作;
6)soc的度量,或者說soc收益的度量問題,包括人/分析師的度量(績效)和對系統的度量(rosi)。關鍵在於度量指標的選取。
RSA2012系列(4) 網路戰揭秘
updated by bennyye 2012 6 27 確定了non kinetic的含義 非身體接觸的。在rsa大會上,來自著名的 測試廠商immunity的創始人aitel進行了乙個網路戰的講演。十分系統 體系化的闡述了他的觀點,當然也比較晦澀。他針對目前業界流行的對於網路戰,包括apt 等的...
RSA2012系列(2) HP談他們的安全智慧型平台
edited by bennyye 2012 3 12 在併購完arcsight後,hp對其安全業務進行了較大的整合,將tippingpoint和fotify等安全產品與arcsight進行了一定程度的整合 沒有h3c的事兒 然後提出了所謂的安全智慧型與風險管理平台 security intelli...
看社會工程專家如何潛入RSA 2012安全大會
原文標題how to sneak into a security conference 老楊編譯 但真的這樣嗎?事實顯然並非如此,正如我在第一天會議上就遇到的乙個老朋友那樣 抱歉我無法說出他是誰,事實上,他是我眾多安全圈 線人 中的乙個。這是個風險管理和社會工程學安全專家,憑著社會工程學做滲透測試生...