一场国际安全厂商的交流会议简记
今天参与了一场国际安全厂商A公司组织的交流会议
与会有国际TOP企业跨境企业
还有国内一些头部商业公司。
A公司很有意思介绍了自己是怎么做安全运营中心SOC的。
介绍了很多内容,包括他们自己的员工量/设备量/事件量/SOC中心人员量,其中人员量只有个位数
就囊括了7*24h全球安全运营。
他们的SOC专家与自动化工程师是服务关系,自动化工程师为SOC运营人员提供服务。
他们将尽可能多的内容进行自动化,AI化(之前是机器学习,深度学习)
用剧本的方式,将主流的处置方案自动化。
每人平均每周需要处理的事件是5件。
而更多的时间用于学习和生活平衡,以避免人员波动。
最终将MTTR的时间降低到了1min。
与会企业有一家通过10年A公司产品使用将整体MTTR降低到了10min。正在试图使用AI技术进一步提升。
当然国际大厂财大气粗,不过很多内容值得注意的。
他们尽可能将攻击融合为一个事件。
将多种来源日志融合在一起。
不胜唏嘘,目前是身兼N职
好处是有很多施展空间。很多理想都可以发挥。
希望能使我所在公司小而不弱吧。