就安全运营中心 (SOC) 而言，我们的网络安全工具仅可企及工具使用者和 SOC 同行的水平。SOC 的关键作用是什么？我们雇用这些人员时应考察哪些资质？此外，您对网络安全职业有哪些期望？

根据个人在 IBM Security 的 Managed Security Services SOC 的一些经验，我提供了以下一些有关全球 SOC 如何按需进行人员配备和组织的见解。

SOC 中的关键角色

确保用人得当对于现代 SOC 的成功来说至关重要。公司 SOC 中的主要角色取决于公司计划的成熟度以及公司的规模和预算。

我在 IBM 工作时，所合作的客户都有一两位安全人员且这些人员在组织内都有多个“头衔”。我还和 SOC 老手一起工作，这些人都有自己的 24/7 全天候运营任务及固定的职责角色。

但是，我的大部分客户都介于这二者之间。他们聘用全职员工担任某些角色，并补充服务提供商以承担其他角色，比如负责提供全天候“实时检测”或作为“随时待命”的事件响应人员。

通常，角色以 SOC 的关键功能为中心：调查与分析、运营与维护、工程与架构、保护与防御、威胁情报，以及监督与治理。

调查与分析

这些角色响应触发器，比如警报或可疑事件。这些角色可以基于技术（比如主机），也可以基于网络或分层的技能/范围（比如“分层 1”、“分层 2”）。这些角色包括：

· 安全分析师

· 事件响应人员

· 事件管理人员

运营和维护

这些角色是工具日常管理的关键。典型的职责包括管理设备运行状况、故障排除、版本管理和策略管理。这些角色包括：

· 设备管理员（防火墙、入侵防范系统、终端代理等）

· 安全工程师

工程与架构

架构师和工程角色是推进和改进安全操作的关键。这些角色可以是关联工程师，负责编写新用例、收集和运行新日志。这些角色还可以是编写定制工具的开发人员，或是帮助推荐和实施新工具的集成架构师。这些角色包括：

· 开发人员

· 安全架构师

· 安全工程师

保护与防御

这些角色在本质上往往是主动的，有助于在威胁实施者趁机利用安全漏洞之前将其识别并改善安全状况。这些角色包括：

· 威胁捕获人员

· 漏洞管理人员

· 渗透测试人员

威胁情报

在某些情况下，威胁情报是唯一的 SOC 功能。在其他情况下，威胁情报会与其他角色结合在一起。Intel 分析师负责跟踪威胁情况，包括可能以组织为目标的威胁实施者和活动。在大多数情况下，情报分析师与工程师和架构师密切合作，以确保提前部署恰当的的检测工具。

· 威胁情报分析师

· 威胁研究分析师

监督与治理

这些角色可以包括管理职位，以帮助制定策略、管理安全预算和保持合规性。这些角色包括：

· 合规官

· 安全意识和培训专业人员

· SOC 经理

· 首席信息安全官

SOC 角色的变化

随着网络安全行业的发展，SOC 内部的必要角色也发生了变化。我们正处于过渡期，各地的 SOC 都在力求从被动的、警报驱动的方法过渡到主动的“智能”方法，即向“SOC 2.0”迈进。

警报疲劳也是 SOC 员工中真正的驱动力。它加剧了长期人员配备和人员保留的挑战，也使人员短缺变得更严重。周而复始，SOC 在“雇用－培训－替换”的周期中不可自拔。随着职业选择的向上优质发展，SOC 要不断地通过分析师来完成培训。这是一个不可持续的周期。

因此，越来越多的公司想要识别日常任务并实现自动化。SOAR（安全编排、自动化和响应）平台的热度持续攀升，很多公司开始引入机器学习元素来进行初始警报分类。

尽管大部分先前 L1 分析师的工作已实现自动化，但其余警报仍旧需要深入的分析技能。这也会导致 SOC 内部角色的专业化得到提升，继而推动对更高价值技能的需求，为员工职业发展带来新机遇，同时也促进 SOC 整体向更成熟的方向发展。

SOC 2.0 时代的招聘

作为招聘经理，我一般更看重个性特征而非技能，因为技能是可以教授的。举例来说，我会在聘用分析师时优先选择生性好奇而且有热情、有进取心的人。这对于我来说比熟知特定工具或平台更重要，因为这种特质证明一个人会在无论所用工具如何的情况下，都擅于进行分析和调查。我喜欢修补匠和实验者，尤其是那些已建立家庭实验室来检测和捣鼓恶意软件的应聘者会更受欢迎。

对于高层职位，我会挑选经验丰富且了解最佳实践方法的人。举例来说，要成为 Intel 分析师，就要先懂智能生命周期。通过研究行业框架（例如，MITRE ATT&CK），更好地了解对手的战术、技巧和程序。要争取获得高技术认证，比如进攻性安全认证专家或 GIAC 认证的事件处理人员。

就更高层次而言，专业化是关键。我们还要能够与其他利益相关者进行互动并有效地进行交流。一般来说，角色越高级，与客户的互动就越频繁。技术技能是必备的，但团队成员还必须能够以合理方式向客户传达复杂的安全信息，并使客户能够就如何使用有限的资源来最大程度确保安全来制定最佳决策。

现实案例：Maze 勒索软件

最终，任何 SOC 的目标都是检测、分析和响应安全威胁。无论角色如何，SOC 的每个人都要始终牢记这一关键目标，为此我们必须营造高度协作化的环境。

对此，大家会在查看我们 SOC 处理的近期威胁时有深切体会。Maze 勒索软件就是一例。在数次交锋之后，我们的 X-Force 事件响应团队才逐渐了解 Maze 实施者是如何以泄露数据、删除备份、加密文件并挟持泄露数据来进行勒索的流程。他们的团队会在“耻辱之墙”上发布一些被盗的数据，来恐吓受害者付款。

当我们的事件响应团队发现更多此类活动时，我们的情报团队会对威胁实施者有更深入的了解。在此基础上，情报团队会将发现的信息告知威胁捕获人员，由其开始主动进行搜寻，继而传递给关联工程师，由其推出新检测工具，继而交予“实时检测”监视团队处理。这是现实的网络威胁循环。

作者简介

Miranda Ritchie

IBM Security 全球服务交付执行官 

Miranda Ritchie 是 IBM Security 的全球服务交付执行官，负责管理全球分析团队，通过集中优质人才来解决问题，为 IBM MSS 客户提供高品质的威胁防范和检测服务。

*  现在即可访问 IBM 安全专区，探索构建更强大，更安全的 SOC 2.0 时代所需的技术。

历史精彩文章推荐 >>>

 * 2021 SIEM 必看趋势：如何选择安全分析提供商

关于 IBM Security >>>

IBM Security 是 IBM 的信息安全解决方案及服务部门，具有多年深耕全球和本地各行各业客户的经验。IBM Security 在全球守护95%的全球五百强企业和组织的信息安全，客户覆盖金融、医疗、汽车、科技、电信、航空等行业公司及集团，包括50家全球最大的金融和银行机构中的49家、15家最大的医疗机构中的14家，15家全球最大科技企业中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他机构发布的12份不同的分析报告中，有12项技术解决方案被列为领导者，在产业中跻身首列。