NOC與SOC相融合的優勢

■ 北京 李先齡

為了降低成本，優化資源并提高事件響應和相關安全功能的速度和有效性，企業正在采取措施將其網絡運營中心（NOC）和安全運營中心（SOC）相統一。

SOC與NOC相融合在概念上很容易理解，但實際上可能難以實現。Amazon Prime Video的CISO Brett Wahlin曾不止一次地研究SOC與NOC的融合，但由于缺乏通用數據集和工具集而受阻，因為這兩者之間有著相當大的技術與理念差異。

NOC專注于連接和正常運行時間。他們對故障單、中斷和性能下降進行響應。SOC團隊則由警報、事件響應和網絡攻擊驅動。NOC研究數據包流量，而SOC團隊試圖揣摩攻擊者的思路。他們在看似相同的問題上有著兩種不同的思想。

因此，對SOC與NOC進行融合面臨很多挑戰，其中最大的問題是，這兩個團隊的目標有著根本性不同。NOC致力于連接并創建高性能的基礎架構。SOC的主要任務是鎖定資產并防止未經授權的人員進行連接，這是最大的絆腳石。其他挑戰還有包括缺乏跨專業技能，缺乏通用工具集，甚至還有因擔心數據可能被錯誤處置或誤解而不愿共享數據等。

盡管存在這一系列挑戰，但打破安全和網絡團隊之間的孤島所帶來的優勢也是非常明顯的，企業也非常樂意去嘗試。SANS Institute的研究員Nelson Hernandez在有關該主題的報告中表示：“NOC與SOC的融合開始受到關注，將這兩個團隊整合成為企業防御外來威脅的統一陣線，可能也是降低成本，提高效率和優化資源的最佳方法。”

SOC與NOC融合的優勢

SOC與NOC相融合給企業帶來的主要優點包括：

1.更好的安全性

網絡團隊通常會收到有關性能問題的告警，而這些問題在進一步分析后發現往往是與安全性相關的問題，例如DDoS攻擊。而兩者相整合后的團隊一起工作時，可以增強企業的安全狀況。

2.改進網絡性能

另一方面，與安全性相關的問題有時也可能是網絡性能問題所導致的，例如，新的防火墻規則無意阻止了正常的流量。而整合后的團隊可以深入研究網絡性能問題并能夠迅速解決這些問題。

3.縮短響應時間

在SOC與NOC融合方案中，合并后的團隊可以減少安全從業人員響應攻擊事件所花費的時間。當涉及到在緊急情況下進行處置時，更快的響應時間將有助于減少給企業造成的財務影響。

4.更高的運營效率

SOC與NOC協作可以消除工具集使用中的冗余，從而降低成本。通過減少花在日常流程上的時間，安全從業人員可以騰出時間從事更多重要的活動。

Enterprise Management Associates（EMA）對350位IT專業人員的調查顯示，在過去的兩年中，近90%的被調查企業稱，安全和運營團隊之間的協作有所增加，而63%的企業已經正式建立了網絡和安全團隊之間的協作，而不是臨時進行。

EMA高級分析師Shamus McGillicuddy將正式協作定義為共享或集成工具，建立協作流程以及共享最佳實踐。EMA的“Network Management Megatrends 2020 Study”還顯示，在兩個團隊之間建立了強有力協作的組織在整體安全性和網絡工作方面更加成功。

SOC與NOC的融合是一個長期的過程

McGillicuddy表示，SOC與NOC融合是一個長期的過程，從創建Slack Channel來共享信息到完全融合，可能不到1/3的企業能夠做到這一步。

EMA調查的結果類似于SANS Institute的報告，該報告發現12%的受訪者具有融合的SOC/NOC，以及集成的儀表板、API和工作流。另有20%的人表示，NOC團隊是檢測和響應工作不可或缺的一部分，但這種合作只是臨時的。另一方面，有12%的人表示SOC和NOC之間的溝通很少，另有21%的人表示團隊僅在緊急情況下才一起工作。

這一類的企業網絡團隊將事件數據提供給安全團隊的SIEM系統，但是卻并未做到完全的融合。

但也有一部分做得好的企業，他們已成功地將NOC和SOC集成到“融合中心”。

例如，不到一年前，一家信息服務與技術公司Neustar的NOC和其安全部門還是完全分開的，但在前CIO的強有力領導下，兩個團隊整合在了一起。幾乎所有內容都進入到一個中心，該中心負責從網絡的角度管理團隊所做的一切，包括公司的網絡、可用服務、公司的數據中心（包括安全性）等，它們全部由一個團隊管理并運行大量不同的工具集。

該公司產品管理高級總監Matt Wilson表示，此舉是整個公司共同努力的一部分，以創建一種新的協作文化，并將不同的團隊整合在一起以減少冗余并提高效率。例如，兩個團隊還發現他們過去都各自購買了Splunk許可證，這對于公司來說無疑是種浪費。

通過消除工具集上的重疊，Neustar能夠降低許可成本，但更重要的好處是讓兩個團隊都改變了他們過去根深蒂固的傳統思維，并共同努力確保每個安全決策都考慮了網絡方面，反之亦然。

SOC與NOC的融合工作是由“改善整體安全狀況的共同愿景”以及避免團隊之間溝通不暢和相互推諉而推動的。

在這一過程中，首先要讓每個人都接受這個概念，為避免形成孤島，這需要跨職能團隊朝著一個共同目標而努力。

將安全和網絡團隊的合并，就好比是將應用開發人員和運營團隊集成到DevOps中的趨勢一樣。如果想高效地工作并對即將出現的新威脅和新問題做出快速反應，就必須采取類似革命性的整合方法。

在應對故障告警或安全事件時，整合后的團隊響應速度和效率有了顯著提高。團隊使用Slack Channel來驅動實時通信，因此，當網絡團隊遇到棘手的問題時，他們可以將其引用到共享的SOC/NOC會議室，團隊可以在此共享數據和見解。

該過程完成的最終狀態是什么？這一過程似乎沒有終點。因為未來隨時將會出現新的威脅，這將不斷推動對新的和不同的工具集和協作的需求。

何時整合安全性和網絡運營

就Neustar公司而言，有一個自上而下的指令來增強協作并打破團隊之間的孤島。在許多公司中，IT戰略的更改或更新周期就可能會導致SOC與NOC融合。

例如，如果公司已決定構建私有云，并且網絡團隊現在需要重新配置流量以適應這種新方式，那么這就是讓安全團隊找出保護虛擬機的最佳方法的最佳時機。也許是時候部署分布式防火墻或采用微分段了，也許是時候開始圍繞零信任模型進行嘗試了。

SOC與NOC融合并不僅限于故障或事件響應級別。通過在流程的早期組建團隊，在產品采購方面，他們可以在共同使用的工具采購上進行協作。然后，在實施工具后，團隊可以開始在管理和監視方面進行協作。

企業CTO、CIO和CSO將很容易理解這種高效的工作整合及協作帶來的好處，而不是擁有兩個孤立團隊，每個組織都應考慮探索整合NOC與SOC的問題了。