說明

人是營運世界級 SOC 的最重要因素。透過培訓和招募確保擁有合格的員工是關鍵。

People are the most important aspect of operating a world-class SOC.
Ensuring you have qualified staff—through training and recruitment—is key.

作法

心態

尋找熱情、好奇心和對知識的渴望的人(沒有興趣很難做下去，有興趣什麼職業都可以轉SOC)

When it comes to cyber, look for enthusiasm, curiosity, and a thirst for knowledge

技能

建議參考其他文章比較清楚，歐盟資安技能框架ECSF定義資安團隊12角色，揭露各職任務重點
https://www.ithome.com.tw/news/156746

團隊

資安範圍很廣，需要長時間培訓，團隊成員各有擅長的項目，內部相互訓練是個方式，而外部訓練是取得新技術的途徑。

Growing the SOC team requires a consistent investment of time and resources but leads to long term success

創造員工留下來的環境

• 錢沒到位、心受委屈了
• 給予發展的可能，製定路線圖來幫助員工實現目標。規劃幾年的培訓路線圖
  

鼓勵自動化

• 隨著日常活動變得自動化，我們可以有更多的時間來學習新技能
• 分析師們期望獲得可以處理威脅的工具，並在他們認為合理的時間內給出結果。

溝通、溝通、溝通

很重要所以重複三次(書上就是三次)

• 給予團隊合作意識和使命感，透過定期會議，讓成員討論戰術和營運問題
• 向團隊提供有關最近事件結果的回饋(EX.日常工作和想法流程和技術的改進)
• 分析師之間的定期分享(知識共享)

合適的流程和文件

• 流程太少，發現或回應事件的方式就會不一致。
• 流程或官僚主義過多，分析師沒有時間或自由去尋找「看起來不對勁」的最重要線索

需要多少分析師

Unfortunately, it is one of the hardest to answer, because there are so many issues at play.
視環境成熟度、成員能力、自動化成度、外部威脅以及風險承擔能力而定

A SOC’s capacity to perform its entire mission is usually influenced more by its skill level, maturity, and automation that the number of analysts.

即時警報監控和分類

人力有限，不要給大量未經整理的資料(讓工具AI來協助吧)

Do not ask analysts to monitor an unfiltered feed

平台

雲端SOC並不能減少分析師人力，但可以減少平台維護

Cloud-based SOC tools do not eliminate maintenance labor costs; but they do allow for more focus on tasks like use-case development rather than standard maintenance

結論

• 對職位的熱情是成功的關鍵指標
• 經驗豐富的人選在IT和網路都有一定的基礎，並在一個或多個領域擁有深入的知識，的T型人才
• 在大型企業，SOC leader 與其他業務溝通技能相當重要
• 資安人才缺稀，因此需要從內部培養人才
• 人員數量取決於使命、能力、規模、自動化程度和可用資金等因素