网络和安全运营中心的社会技术指标框架

早在 2019 年 1 月，我就在信息安全 Buzz 上发表了一篇题为《你想成为安全明星吗？》的文章，探讨了当今安全人才的匮乏、所需的教育、SOC 分析师的典型一天、真正的工作疲劳以及如何提高信息安全工作者的士气。 我们还深入研究了 2015 年的一项研究《减轻安全分析师倦怠的人力资本模型》 ，该研究采用人类学的方法来探索倦怠现象。 他们可以对研究人员进行培训，然后将他们安置在不同的安全运营中心，以便除了采访之外更好地了解导致疲劳的原因。 他们研究了士气、自动化、运营效率、管理指标，当然还有这些如何导致分析师倦怠。 研究确定了影响高效证券分析师的培养和保留的四个因素： 技能、授权、创造力和成长。

在我们准备发表论文时，我联系了这项研究的作者之一Alex Bardas ，他目前是堪萨斯大学计算机科学系的助理教授。 我想感谢他的研究并给他一个机会来审查我们如何呈现这项研究。

在那次谈话中，亚历克斯提到他正在向美国国家科学基金会 (NSF) 提交另一项研究项目的新资助提案。 该提案的重点是开发一个针对安全运营中心（SOC）的新指标框架，以衡量和验证SOC相对于企业网络安全的性能。 这是与史蒂文斯理工学院的布拉德利菲德勒教授的合作，他从社会和制度角度研究网络架构的长期演变。 Alex 询问 F5 是否有兴趣合作这个为期两年的项目， F5 SOC热情地同意了。

网络运营中心和安全运营中心 (NOC/SOC) 是现代企业网络的核心组成部分。 组织部署 NOC/SOC 来管理其网络运营、防御网络威胁并保持法规合规性。 传统上，这些组织通过 NOC/SOC 指标的接口获得网络安全的抽象视图，而 NOC/SOC 又通过监控软件与网络连接。 通过隔离“性能”测量的狭窄子集（最典型的是封闭票数），这些指标会歪曲 NOC/SOC 的有效性和网络本身的安全态势。 这些指标往往会激励 NOC/SOC 中的非生产性行为，隐藏网络本身潜在的根本安全漏洞，并触发控制组织中不稳定的“适当规模”流程。

Alex 和团队希望开发一个新的指标框架，以协调 NOC/SOC 性能与企业网络安全。 他们正在建立可作为战略和长期规划等因素的代理指标，并为实地 NOC/SOC 运营商提供将本地知识输入上层决策的方法。 最后，他们想要的是：

1. 提高沟通现实世界安全有效性的能力，

2. 适应现有的 NOC/SOC 运营和管理实践，

3. 作为新一代企业网络安全工具的基础

（这最终将……）

4. 解决 NOC/SOC 实践和管理决策之间的恶性循环。

通过将网络、安全组件和运营人员视为相互依存系统的一部分，这些指标将能够考虑到突出的安全漏洞、战略和长期规划以及选民利益等因素，并为实地 SOC 分析师提供将本地知识输入高层决策的方法。 这可能为现实世界的安全评估提供强大的新框架，从而引发安全格局的重大转变。

到目前为止，他们的研究团队已经在一个单独的安全运营中心嵌入了一名学术研究人员，并正在分析 NOC/SOC 工作人员、网络监控软件和企业网络架构之间的接口的演变。 他们仍处于项目的早期阶段，我们的参与更多的是咨询而非实际操作。 我们期待对研究中的一些假设要素进行潜在测试，并在适当的时候向团队提供反馈。

展望未来，我们计划定期发布研究项目的更新，包括里程碑、早期分析以及希望能够帮助您进行 NOC/SOC 运营的一些结果。