NSA：（通訳含む）SOCの五大原則を運営

NSAのネットワークセキュリティの脅威オペレーションセンター（NSAサイバーセキュリティ脅威オペレーションセンター、NCTOCという）は、米国国防総省の非機密情報ネットワークのセキュリティ・オペレーションの実現のために協力CYBERCOMに、SOC NSAに対応しています。このグローバルネットワークのDODは、常に、NSA 7 * 24 * 356の下でさまざまな脅威、オペレーティング年間に直面しているオペレーティング多くの経験を総括します。NCTOCチーム指向の運用スタッフ、まとめ 5つの原則をSOC操作 ：

1）防御の境界線（の確立に防御境界）を確立 JIEの年後、インターネットのうち（共同情報環境）の建設、大幅な削減を達成するために、インターネットに接続された出口、トラフィックの99％はごく少数で達成しているDODいくつかのゲートウェイルーティング。このように大幅に相手を削減しながら、ネットワーク防御境界が大幅に強化されました|攻撃ネットワーク侵入|顔、他方ではこれらの輸出の監視を集中するために脅威を集中することができます。また、防御の境界線は、インデックスの既知の特性に基づいたヒューリスティックと行動分析手法の統合された使用を意味し、ホストベースのためにそれを使用する（エンドポイント）とWebベースのプラットフォームまで、そのリアルタイム観察と介入のネットワーク活動。著者自身の経験と組み合わせる[解説]は、私は単一で、防衛のために、国境与えられたが、非常に重要な事前作業がエンティティまたはアイデンティティベースに基づいており、この境界は、物理または仮想であるかどうか、確かであると信じていますまたは多層層、境界は、仮想化が、あいまいではないことができます。また、防御の境界線もできるだけ制御された攻撃などということを意味|テキストに言及した顔は、最も基本的な（しかし、単純ではない）であるインターネットの輸出の管轄下に大企業のためです。アインシュタインは、TIC（信頼できるインターネットアクセス）理由は仕事をするために多くの労力を費やし前に、そして、それは最初の2の実装では、なぜ連邦政府です。DODINについてJIE単一のセキュリティアーキテクチャ設計により、類似しており、かなりの数とインターネットの境界上のインターネットコンセントの種類、および行わ統合ネットワークセキュリティ設計境界ネットワーク（JRSSを展開）に接続されているすべての劇場を減らします。
2）ネットワーク全体（ネットワークを介して視認性を確保）の視認性確保ゲートウェイ、中間ノードおよびエンドポイントを含むネットワークの全てのレベルを通ってであることが視認性とネットワークトラフィックの継続的な監視を。ルールは、ネットワーク内のアラームをトリガされた場合は、アナリストは正確にホストがアラームイベントを生成し、実際のエンドポイントを見つけて隔離することができなければなりません。このプロセスには数分ではなく、時間以内に結果を出す必要があります。
より多くのトラフィックが送信を暗号化されているよう加えて、SOCは、正当なネットワーク脅威の動作が中に混入することを確実にするために、複雑な参照、ソリューションのセット上に構築しなければなりません。[解説]我々は（可視性）状況認識が、実際には、非常に基本的な能力を見ることであると言います。今、国内で数年以上前憶測、とは、実際にあまり話を、実際には、ネットワークセキュリティの追求は崩壊を見ていません。さらに、何を見ていますか？オブジェクトからのトラフィックとログを見ることだけではない、もっと重要なのは、特定のネットワーク・エンティティとエンドポイントエンティティに、さまざまなエンティティを見て、そして一緒にこれらの知見を統合できるようにすることです。ヒット| |コンテンツから、実体のさまざまなネットワークの動作状態を確認することです、エンティティ、状態とエンティティ間の行動の相互作用は、攻撃を識別することができ、正常と異常行動を区別侵入し、違法、と描写しますその発展と変化のプロセス（例えば、タップ|ヒットチェーン）。ターゲットから、ターゲットは私は問題がゴールではなく、手段が応答し、処分が目標ですどのくらいの速参照することが判明、見ていません。このレベルでは、実際には、それはまた、迅速な廃棄問題レスポンダを支援するなど、問題を識別しやすくするだけでなく、運用、保守要員を見た拡張子を、「見る」ように拡張しました。
3）ベストプラクティスにベストプラクティス（ハーデンの強化）セキュリティインシデントが原因発生しない更新ネットワークの脆弱性または非準拠のハードウェアとソフトウェアに通常です。また、脆弱性が開示されているか、またはリリース後にパッチを使用しているとき、NCTOCは、潜在的な攻撃悪質な俳優を識別するために、24時間以内に全体DODIN（DOD情報ネットワーク）をスキャン|（パッチ未適用のサーバー）のターゲットをヒット。
練習NCTOCの強力な支持者である、これは露出面の脆弱性、および信頼性と保護ソフトウェアを最大化する能力を低下させることができますタイムリーに（パッチ）更新はまだ最善の防御策の一つである、と言うことができます。[解説]ここでいうベストプラクティスは、脆弱性管理、脆弱性管理、パッチ管理のための中核的な方法です。実際には、この問題は簡単です口で言います。NSAはそう言ったが、より多くのガイダンスがこれを行う方法に必要とされています。実際には、我々は、彼らが建物結果についてある場合には、2年前にアインシュタインのプログラムを参照して、主な結果は、知性の脆弱性や悪用に対する警告、共有、資産および資産位置の欠陥の迅速なスキャンだけでなく、時間にパッチを適用で監督。システムに数十億ドルを費やしたと思いますが、これを達成するために、それは価値が価値やないですか？脆弱性管理が困難または実行することは困難ではないでしょうか？
（使用包括的な脅威インテリジェンスと機械学習を学習4）脅威インテリジェンスとマシン ） フルに使用するインテリジェンスの使用の脅威の前に、脅威情報ソースをカスタマイズするために彼らのネットワーク環境のために推奨されます。例えば、DODINネットワーク脅威活性および医療単位で非常に異なっていてもよいです。SOCは、既存の守備のアーキテクチャを意識する敵は貴重な資産であるかを判断し、脅威インテリジェンスは、それに応じてカットを供給しなければなりません。
また、脅威インテリジェンスネットワークアクティビティおよびアラート情報の顔が大規模な、SOCは、データ科学と機械学習を使用する必要がある場合、これらの情報の膨大な量は、アクション（アクショナブル結果）の結果として抽出することができます。セキュリティチーム既存のアラームに対応することができるはずはないだけでなく、過去に狩猟活動への積極的な脅威を実装するためには、ネットワークを検出できませんでした。[解説]これはかなり良くについて話しました国内の両方、理解されています。完璧を持っており、将来の洗練を必要としない情報については、有効性に焦点を当て、AI / MLのため、技術はデバイスおよびシステムへのさまざまなセキュリティ方法に統合されているように。
5）知識のための培養（好奇心の文化を作成します）を作成純粋にセキュリティイベントのチケットに基づいて、このようなできるだけ早くアラームの処分についてもっと心配しているのではなく、攻撃の把握を完了しようとする人に対応していることを、ネットワーク・セキュリティの速度は誤解を招く可能性が測定するのに閉じ|ストライキ活動そのもの。新たな戦略を取った後、どのように我々が懸念しているため、可能な反応敵を予測することはチャレンジ・レスポンスです。永続的な敵がいるため、攻撃のネットワークへの関心の入り口にそのプローブを続ける、としませんので|ストライキ阻まはあきらめます。そのため、SOCは常に、先制防御的な行動を取る彼らのチームに革新的な思考を注入し、新たな敵の戦術の多様性を見つけるために努力する必要があります。
[解説]いわゆる知識、それはまた、好奇心のように理解することができます。セキュリティアナリストは好奇心、好奇心は、高度な能力を得るためには、セキュリティの仕事をするために、学ぶために。この好奇心/知識のための渇きは、あなたが（脅威狩猟）を狩りに脅かすことにより、集中式を得ることができます。知識のための渇きも、それがさらに困難であり、長い時間のための個人的なエネルギーの巨大な投資は、より多くの配慮を返すようにすれば、非常に難しいそれを維持するために、疲れたものであることを意味します。さらに、どのように動機づけやチームではなく個人の好奇心だけでなく、大きな問題を保持します。最後に、人-最終的な分析では、本質的に安全に対するコアについての話があります。5点の原則の上にあるフィールドの専門家として、SOC、および互いを励まします。