NOC與SOC相融合的優(yōu)勢

■ 北京 李先齡

為了降低成本，優(yōu)化資源并提高事件響應(yīng)和相關(guān)安全功能的速度和有效性，企業(yè)正在采取措施將其網(wǎng)絡(luò)運營中心（NOC）和安全運營中心（SOC）相統(tǒng)一。

SOC與NOC相融合在概念上很容易理解，但實際上可能難以實現(xiàn)。Amazon Prime Video的CISO Brett Wahlin曾不止一次地研究SOC與NOC的融合，但由于缺乏通用數(shù)據(jù)集和工具集而受阻，因為這兩者之間有著相當大的技術(shù)與理念差異。

NOC專注于連接和正常運行時間。他們對故障單、中斷和性能下降進行響應(yīng)。SOC團隊則由警報、事件響應(yīng)和網(wǎng)絡(luò)攻擊驅(qū)動。NOC研究數(shù)據(jù)包流量，而SOC團隊試圖揣摩攻擊者的思路。他們在看似相同的問題上有著兩種不同的思想。

因此，對SOC與NOC進行融合面臨很多挑戰(zhàn)，其中最大的問題是，這兩個團隊的目標有著根本性不同。NOC致力于連接并創(chuàng)建高性能的基礎(chǔ)架構(gòu)。SOC的主要任務(wù)是鎖定資產(chǎn)并防止未經(jīng)授權(quán)的人員進行連接，這是最大的絆腳石。其他挑戰(zhàn)還有包括缺乏跨專業(yè)技能，缺乏通用工具集，甚至還有因擔心數(shù)據(jù)可能被錯誤處置或誤解而不愿共享數(shù)據(jù)等。

盡管存在這一系列挑戰(zhàn)，但打破安全和網(wǎng)絡(luò)團隊之間的孤島所帶來的優(yōu)勢也是非常明顯的，企業(yè)也非常樂意去嘗試。SANS Institute的研究員Nelson Hernandez在有關(guān)該主題的報告中表示：“NOC與SOC的融合開始受到關(guān)注，將這兩個團隊整合成為企業(yè)防御外來威脅的統(tǒng)一陣線，可能也是降低成本，提高效率和優(yōu)化資源的最佳方法?！?/p>

SOC與NOC融合的優(yōu)勢

SOC與NOC相融合給企業(yè)帶來的主要優(yōu)點包括：

1.更好的安全性

網(wǎng)絡(luò)團隊通常會收到有關(guān)性能問題的告警，而這些問題在進一步分析后發(fā)現(xiàn)往往是與安全性相關(guān)的問題，例如DDoS攻擊。而兩者相整合后的團隊一起工作時，可以增強企業(yè)的安全狀況。

2.改進網(wǎng)絡(luò)性能

另一方面，與安全性相關(guān)的問題有時也可能是網(wǎng)絡(luò)性能問題所導(dǎo)致的，例如，新的防火墻規(guī)則無意阻止了正常的流量。而整合后的團隊可以深入研究網(wǎng)絡(luò)性能問題并能夠迅速解決這些問題。

3.縮短響應(yīng)時間

在SOC與NOC融合方案中，合并后的團隊可以減少安全從業(yè)人員響應(yīng)攻擊事件所花費的時間。當涉及到在緊急情況下進行處置時，更快的響應(yīng)時間將有助于減少給企業(yè)造成的財務(wù)影響。

4.更高的運營效率

SOC與NOC協(xié)作可以消除工具集使用中的冗余，從而降低成本。通過減少花在日常流程上的時間，安全從業(yè)人員可以騰出時間從事更多重要的活動。

Enterprise Management Associates（EMA）對350位IT專業(yè)人員的調(diào)查顯示，在過去的兩年中，近90%的被調(diào)查企業(yè)稱，安全和運營團隊之間的協(xié)作有所增加，而63%的企業(yè)已經(jīng)正式建立了網(wǎng)絡(luò)和安全團隊之間的協(xié)作，而不是臨時進行。

EMA高級分析師Shamus McGillicuddy將正式協(xié)作定義為共享或集成工具，建立協(xié)作流程以及共享最佳實踐。EMA的“Network Management Megatrends 2020 Study”還顯示，在兩個團隊之間建立了強有力協(xié)作的組織在整體安全性和網(wǎng)絡(luò)工作方面更加成功。

SOC與NOC的融合是一個長期的過程

McGillicuddy表示，SOC與NOC融合是一個長期的過程，從創(chuàng)建Slack Channel來共享信息到完全融合，可能不到1/3的企業(yè)能夠做到這一步。

EMA調(diào)查的結(jié)果類似于SANS Institute的報告，該報告發(fā)現(xiàn)12%的受訪者具有融合的SOC/NOC，以及集成的儀表板、API和工作流。另有20%的人表示，NOC團隊是檢測和響應(yīng)工作不可或缺的一部分，但這種合作只是臨時的。另一方面，有12%的人表示SOC和NOC之間的溝通很少，另有21%的人表示團隊僅在緊急情況下才一起工作。

這一類的企業(yè)網(wǎng)絡(luò)團隊將事件數(shù)據(jù)提供給安全團隊的SIEM系統(tǒng)，但是卻并未做到完全的融合。

但也有一部分做得好的企業(yè)，他們已成功地將NOC和SOC集成到“融合中心”。

例如，不到一年前，一家信息服務(wù)與技術(shù)公司Neustar的NOC和其安全部門還是完全分開的，但在前CIO的強有力領(lǐng)導(dǎo)下，兩個團隊整合在了一起。幾乎所有內(nèi)容都進入到一個中心，該中心負責從網(wǎng)絡(luò)的角度管理團隊所做的一切，包括公司的網(wǎng)絡(luò)、可用服務(wù)、公司的數(shù)據(jù)中心（包括安全性）等，它們?nèi)坑梢粋€團隊管理并運行大量不同的工具集。

該公司產(chǎn)品管理高級總監(jiān)Matt Wilson表示，此舉是整個公司共同努力的一部分，以創(chuàng)建一種新的協(xié)作文化，并將不同的團隊整合在一起以減少冗余并提高效率。例如，兩個團隊還發(fā)現(xiàn)他們過去都各自購買了Splunk許可證，這對于公司來說無疑是種浪費。

通過消除工具集上的重疊，Neustar能夠降低許可成本，但更重要的好處是讓兩個團隊都改變了他們過去根深蒂固的傳統(tǒng)思維，并共同努力確保每個安全決策都考慮了網(wǎng)絡(luò)方面，反之亦然。

SOC與NOC的融合工作是由“改善整體安全狀況的共同愿景”以及避免團隊之間溝通不暢和相互推諉而推動的。

在這一過程中，首先要讓每個人都接受這個概念，為避免形成孤島，這需要跨職能團隊朝著一個共同目標而努力。

將安全和網(wǎng)絡(luò)團隊的合并，就好比是將應(yīng)用開發(fā)人員和運營團隊集成到DevOps中的趨勢一樣。如果想高效地工作并對即將出現(xiàn)的新威脅和新問題做出快速反應(yīng)，就必須采取類似革命性的整合方法。

在應(yīng)對故障告警或安全事件時，整合后的團隊響應(yīng)速度和效率有了顯著提高。團隊使用Slack Channel來驅(qū)動實時通信，因此，當網(wǎng)絡(luò)團隊遇到棘手的問題時，他們可以將其引用到共享的SOC/NOC會議室，團隊可以在此共享數(shù)據(jù)和見解。

該過程完成的最終狀態(tài)是什么？這一過程似乎沒有終點。因為未來隨時將會出現(xiàn)新的威脅，這將不斷推動對新的和不同的工具集和協(xié)作的需求。

何時整合安全性和網(wǎng)絡(luò)運營

就Neustar公司而言，有一個自上而下的指令來增強協(xié)作并打破團隊之間的孤島。在許多公司中，IT戰(zhàn)略的更改或更新周期就可能會導(dǎo)致SOC與NOC融合。

例如，如果公司已決定構(gòu)建私有云，并且網(wǎng)絡(luò)團隊現(xiàn)在需要重新配置流量以適應(yīng)這種新方式，那么這就是讓安全團隊找出保護虛擬機的最佳方法的最佳時機。也許是時候部署分布式防火墻或采用微分段了，也許是時候開始圍繞零信任模型進行嘗試了。

SOC與NOC融合并不僅限于故障或事件響應(yīng)級別。通過在流程的早期組建團隊，在產(chǎn)品采購方面，他們可以在共同使用的工具采購上進行協(xié)作。然后，在實施工具后，團隊可以開始在管理和監(jiān)視方面進行協(xié)作。

企業(yè)CTO、CIO和CSO將很容易理解這種高效的工作整合及協(xié)作帶來的好處，而不是擁有兩個孤立團隊，每個組織都應(yīng)考慮探索整合NOC與SOC的問題了。