為擴展打下基礎：安全企業實現增長的5個技巧

Stacy Collett

面對合并、新業務創新以及不斷變化而且越來越多的攻擊，安全行動中心（SOC）應怎樣做好準備。

在2017年6個月的時間里，首席信息安全官Eric Schlesinger眼看著他的公司北極星阿爾法（Polaris Alpha）在經歷了三家公司合并以及三家公司被收購后，從150名員工急速擴張到1500名員工。Schlesinger面臨嚴峻的挑戰，公司成為網絡攻擊的主要目標，因為該公司為國防、情報和安全客戶（包括聯邦政府）提供任務解決方案。

Schlesinger說：“這種快速的IT整合在一定程度上也伴隨著固有的風險。發展如此之快，有時安全部門不一定能跟上IT部門的步伐。”他怎樣才能帶著六家不同的公司，6個不同的網絡和安全部門，實現統一、專門的安全功能，而且當北極星阿爾法公司網絡擴展時，還能兼容和擴展安全職能？

與大多數中小型企業一樣，被收購企業的網絡安全依賴于對工具的投入。但是整合來自六家公司的多種工具是行不通的。

Schlesinger說：“我們很早就意識到，工具只是投入的一部分，但并不能推動我們的安全工作。只有全面的考慮人員、方法、工作員工和流程，才能使我們從500人擴展到1500人，而現在我們是15000人——Parsons于2019年5月收購了我們。”

需要策略

Schlesinger在最初的幾個月里首先是熟悉新組織。他有合適的人嗎？有哪些工具可以重新調整使用？

接下來，公司的綜合網絡安全部門采用了標準的美國國防部（DoD）/國防信息系統局（DISA）模型，并將其應用于公司保護企業網絡的過程中。他說：“這創建了一種員工組織結構，明確生態系統必須怎樣工作，并為個人提供了明確的目標、明確的程序和工作流程。”

這次大規模合并只是代表了安全部門擴張的極端情況，但企業仍然需要快速擴展安全職能的能力，其原因不僅僅是并購、新業務創新或者與客戶交互的新方法等。

德勤風險和金融咨詢部主管兼網絡風險咨詢和實施負責人Emily Mossburg表示：“我們處在高度相互依存的環境中，被攻擊的可能性非常大，而且攻擊面不斷變化和不斷增長，從網絡角度看，要開展的工作的范圍和規模都在不斷擴大。”

請參考首席信息安全官和安全顧問提供的以下建議，幫助你組織好安全運營的擴展。

1.建立“戰斗節奏”

DoD模型的采用為Schlesinger的部門建立了“戰斗節奏”，使其工作由被動變為主動。聯合安全行動中心（SOC，Security Operations Center）現在有4個“象限”——保護、檢測、響應和維持，每一象限分配了2個全職網絡防御人員。

在“保護”象限中，分析師進行風險評估和漏洞管理。

檢測小組的分析人員通過警報或者手動檢查日志來發現被攻破的跡象，尋找任何異常情況。

Schlesinger說：“在最初的15分鐘內，如果他們認為異常情況比較嚴重，應進一步作出反應，那么他們就將其發送給響應小組。”我們的目標是迅速把被攻破的事件送到安全事件處理鏈上，這樣，檢測小組就可以繼續深入尋找其他問題——因為犯罪分子經常利用較小的安全事件作為轉移注意力的策略，在安全部門全神貫注地處理這些小事件時，發起更大的攻擊。然后，響應分析人員采取一切必要措施來阻止威脅。

他說：“至關重要的是要有正確的檢測功能，即，查找、記錄和移動。如果做不到這一點，就堵不上安全漏洞。”

最后，維持小組的工程師支持這3個功能，保證所有工具和基礎設施都能夠很好的維護和運行。

當然，使用了所有的傳統安全工具——端點保護、入侵檢測和預防、數據丟失預防、傳統防火墻等，但Schlesinger所做的最關鍵的投入是其安全事件和事件管理（SIEM）工具。“我們收集所有這些日志，分析它們，然后決定我們是否有被攻破的地方，是否需要對此做出反應——真的是萬事開頭難。”

Parsons在5月份收購了北極星阿爾法公司，新的網絡防御模式將作為Parsons公司安全部門內部員工結構的一部分。Schlesinger說：“Parsons的網絡比北極星阿爾法大10倍，但通過完善的流程和方法，再加上合適的工具，我不用把部門規模擴大1倍或者3倍了。”

2.削減工具

Kevin Richards是埃森哲全球安全戰略負責人，他幫助重組和擴大了一家制藥公司的安全運營部門，這家公司收購了另一家藥廠，該藥廠是從第三家仍與其有服務關系的制藥公司分拆出來的。

Richards現在是Marsh有限公司的董事總經理兼網絡風險全球主管，他說：“過于復雜不利于安全。我們都同意不能有3個SIEM和四種防病毒軟件以及三類不同的身份管理產品，但是每個部門都有自己喜歡的供應商。我們想要共同的、全局性的、簡單的產品，所以當我們確定了2～3種競爭產品后，就有了共識，可以開始選擇了。”

聯合小組消減了近60%的安全工具。額外的好處：Richards說，消減了工具后，也就不需要多個冗余的許可，節省了100多萬美元。

3.人員重新定位

作為收購的一部分，母公司創建了一個新的層次結構，以便更好地與新業務相結合，從而開辟了許多新的產品領域和地區。這也給了Richards一個機會，面向未來重新組建安全部門——除了兩名首席信息安全官中的一個，不會失去任何網絡安全人員。

Richards說：“每個人都被同化了，但他們的角色不一定相同。例如，我們不需要2個SecOps主管，所以一個負責體系結構，另一個負責更多的運營任務。”

Richards說，他們還創造了一些新職位，包括一位網絡創新主管，他負責運用新技術，明確在我們的新架構中怎樣使用這些技術。”

隨著公司在全球的擴張，他們還圍繞政府和監管關系創造了一個新職位，以便更好地把握全球制藥行業的所有新數據保護和隱私監管要求。

4.考慮外包

網絡安全的廣度和范圍不斷擴大，往往會超出很多企業的安全能力。Mossburg說，這些企業應該考慮新的渠道來彌補安全漏洞，包括第三方安全提供商。

Mossburg說：“很多企業認為他們不一定要維護他們所有的網絡和基礎設施，我看到很多人都有了同樣的網絡意識。”借助于承包商，或者外包所有功能，可以更高效，而且通常服務水平會更高。

一份2019年德勤關于網絡未來的調查顯示，企業更傾向于通過第三方來幫助解決安全問題。將近2/3的首席信息安全官（65%）外包了21%～30%的網絡運營業務。外包給第三方的主要網絡安全工作包括減小攻擊面等漏洞管理職能，還有威脅搜索和威脅情報、安全培訓和安全意識、內部威脅檢測和應用程序安全，等等。

報告稱，很多企業在很多方面都需要一點幫助。為制訂全面的網絡安全計劃，企業應與供應商、行業協會、政府機構、學術機構、研究人員和其他商業伙伴密切合作。

5.涉及整個企業

為了檢測和阻止網絡攻擊，安全部門需要企業其他部門的幫助。Mossburg說：“它不能獨立運作。在安全部門之外，面對風險，應教育、培訓和推動與風險相關的意識，并建立某種程度的問責制。”

Schlesinger說：“所有這些步驟都要求安全部門與業務部門之間建立良好的關系。有時你必須隔離某些處理敏感信息的部門，但我們是一家客戶服務機構。我們不想成為‘業務預防部門，只會說不，而是要教育員工，并滿足業務需求。要知道工具總是變來變去的，重要的是要投資于人。”

Stacy Collett是《計算機世界》、CSO和《網絡世界》的特約撰稿人，他的文章涉及各種安全和風險問題。

原文網址

https：//www.csoonline.com/article/3430718/built-to-scale-5-tips-for-structuring-your-security-organization-for-growth.html