安全運營中心(SOC)允許組織針對安全威脅保持主動、全天候的防御態勢。使用可供使用的各種工具，配備 SOC 的專家可以在威脅在您的網絡中站穩腳跟之前識別并阻止威脅。這使得 SOC 成為任何組織中的重要組成部分。

安全運營中心做什么？

組織不斷受到不良行為者的威脅。借助 SOC，他們可以通過識別和分析直接環境中發生的一切，主動保護公司免受外部威脅。但是，如果設置不當且沒有利益相關者的支持，SOC 可能無法保護您的企業。此外，面對不斷變化的威脅環境，SOC 需要不斷發展。

SOC 負責：

預防和檢測威脅。網絡、服務器、數據庫、端點和應用程序都受到 SOC 的審查，任何可疑和異常的事物都會受到調查。通過這種全天候監控，可以在潛在的安全威脅對您的 IT 基礎架構造成嚴重破壞之前將其阻止。
調查可疑活動。當檢測到可疑活動時，安全分析師會立即采取行動并檢查威脅是否已在網絡中站穩腳跟。考慮到當前在全球范圍內傳播的威脅，并確定這些威脅是否可能參與了攻擊，分析人員確定了可能已被破壞的基礎設施部分。
實施響應。當某事確實通過了公司的防御時，SOC 會根據其調查結果實施針對攻擊的擬議響應，直到威脅被消除。

如何實施安全運營中心

要實施 SOC，首先要起草一份明確的安全政策，以便組織中的每個人都知道自己的職責是什么，以及這與您的幫助臺以及組織內其他團隊的職責有何不同。幫助臺處理用戶在日常工作中遇到的問題，而 SOC 則負責維護整個組織的安全。一旦安全策略到位，您就可以開始通過防火墻、防病毒軟件、端點保護系統和入侵檢測系統來保護您的基礎設施，如果您還沒有在組織范圍內部署它們的話。除了這些基本要素之外，您還需要添加其他專門設計用于管理威脅的工具。

安全運營中心的重要性

除了流程和技術之外，為SOC 配備知道如何持續監控和分析潛在威脅的人員也很重要。典型的 SOC 人力包括以下內容：

• 首席信息安全官 (CISO)。C 級官員最終負責組織的安全操作。CISO 設定組織的總體安全方向，并在安全問題上與 CEO 和管理層進行協調。
• 事件響應主管。事件響應主管負責管理事件并在發生威脅或違規時傳達安全要求。
• SOC經理。SOC 經理負責 SOC 運營以及管理和雇用 SOC 團隊，指導和協調對主要安全威脅的響應。在某些組織中，SOC 經理還擔任事件響應主管。
• 安全分析師。安全分析師負責檢測和響應安全威脅，實施安全措施并負責災難恢復計劃。
• 安全工程師。安全工程師負責維護和更新工具和系統，記錄安全協議并將其傳播給其他員工。

安全運營中心的四種工作角色

SOC人員可分為四種角色，即：

• 第 1 層支持。第 1 層支持負責監視、確定優先級和調查安全事件。
• 第 2 層支持。與第 1 層支持相比，第 2 層支持更有經驗，負責更詳細地審查事件并推薦包含威脅的行動方案。
• 第 3 層支持。負責主動尋找威脅，第 3 層支持還分析組織是否存在任何安全漏洞。作為最有經驗的人，他們管理可能會破壞或證明對組織的運營造成災難性后果的重大事件。法醫調查員屬于這一組。
• 第 4 層支持。SOC 經理和 SOC 內的其他高級官員可被視為第 4 層支持人員，對所有安全事件（無論大小）全面負責。

制定一項政策，只為您的 SOC 雇用最合格的人員。還制定培訓計劃，以確保 SOC 員工掌握最新技能。在這方面，與人力資源 (HR) 密切協調。

擁有安全運營中心有什么好處？

擁有 SOC 的一個主要賣點是通過由受過培訓的人員進行的主動、全天候監控來及早發現威脅。及時響應意味著即使不能完全避免，也可以將攻擊造成的潛在損害降到最低。不僅避免了對公司基礎設施的廣泛破壞，而且避免了計劃外停機造成的潛在重大損失。因此，更快地解決安全事件意味著更低的業務中斷損失。

其他好處包括：

• 安全運營的中央樞紐。由于 SOC 負責所有與 IT 安全相關的事務，因此不會混淆哪個辦公室或人員負責處理事件，并且一旦檢測到和識別攻擊，就可以使用訓練有素的人員共同努力打擊攻擊。SOC 使強大的威脅響應成為可能，無論威脅來自何處。
• 具有成本效益的解決方案。讓 SOC 在中央位置之外運行可以節省成本。此外，由 CISO 或 SOC 內的其他等效機構負責獲取安全相關系統，組織可以避免獲取不同的系統，這些系統不僅可能很昂貴，而且會使您的基礎架構進一步復雜化。
• 改進威脅響應。由于中心位置的專家可以訪問各種工具來識別威脅，并且喜歡與之分享想法，因此更有可能做出最初有效的威脅響應，從而有效地減少攻擊的影響。

可以采用哪些類型的安全運營中心？

傳統的SOC位于物理設施中，并配備了負責分析和監控安全系統的專家。以前，只有較大的組織才有 SOC。如今，較小的組織正在采用 SOC 來應對來自各地的越來越多的威脅。SOC 的設置和維護成本很高，需要在運營和人員方面進行大量初始投資。維護成本也不是微不足道的。此外，在為您的組織決定 SOC 類型時，組織成熟度也很重要。

常見的 SOC 類型包括：

• 內部 SOC。在此模型中，組織自行運營和配備 SOC，無需任何外部幫助。盡管建立起來可能需要一些時間，而且可能很難找到并留住足夠的訓練有素的人員，但從長遠來看，投資于自己的 SOC 的組織通常能夠更好地應對外部威脅。它非常適合能夠分配 24/7 運營所需預算并具有構建它的專業知識的大型組織。
• 托管 SOC。在這個模型中，組織尋求外部專家的幫助來建立 SOC。提供商運營 SOC 并對事件做出響應。您已獲悉這些事件，但您的員工并未參與解決這些事件。這種模式非常適合專業知識和預算有限的小型組織。即使是擁有專業知識且預算??有限的組織也可能會發現這種模式是最適合采用的模式。由于提供商有責任響應您的網絡威脅，因此此模型可能不適合需要遵守嚴格監管標準的組織。
• 混合 SOC。在此模型中，內部員工和外部專家混合在組織的 SOC 中工作。外部專家的幫助為內部員工提供了極好的學習機會，使他們能夠培養自己的技能。如果組織稍后過渡到完整的內部 SOC，則員工會做好更好的準備。對于具有一定專業知識但尚未準備好擁有自己的 SOC 的組織來說，這種模式非常適合，但從長遠來看，這種模式可能會證明成本很高。與托管 SOC 模型一樣，它也不適合受嚴格政府法規約束的組織，除非您能找到一種方法只讓內部員工處理敏感信息。
• 虛擬 SOC。這可以稱為即時的，因為 SOC 及其成員只有在存在迫在眉睫的威脅或事件已經發生時才會被激活。雖然負責 SOC 的兼職人員可能有能力并具備必要的經驗，但這種類型的 SOC 也是最不受歡迎的，因為它不提供與其他類型的 SOC 相同的保護。
• 網絡運營中心 (NOC)。在此模型中，NOC 承擔了 SOC 的角色。這意味著安全操作只是分配給 NOC 的關鍵 IT 任務之一。這可能會證明是有效的，尤其是當您的 NOC 中有經驗豐富的安全分析師時。

安全運營中心需要哪些工具？

防火墻、防病毒軟件、端點保護系統和入侵檢測系統用于在初始階段阻止惡意攻擊，幫助防止威脅進入您的網絡。此外，還需要其他類型的軟件來自動化安全操作、分析威脅和管理事件響應。其中包括：

• 用戶和實體行為分析 (UEBA)。UEBA 允許監控個人用戶和機器是否有任何可疑行為。這種類型的軟件收集有關用戶或機器的信息，以及這些人或設備如何用于訪問網絡中的服務器、應用程序和數據庫。他們幫助記錄和識別任何類型的偏離規范的活動。然后，分析人員可以查看日志以查看該行為是否可能構成威脅。
• 安全信息和事件管理 (SIEM)。這些工具記錄與安全相關的事件并執行日志分析，以識別并提醒組織注意可能構成威脅的任何事件。憑借其日志報告功能，這些工具還可用于幫助組織遵守必要的法規，例如通用數據保護條例 (GDPR)、健康保險流通與責任法案 (HIPAA) 和支付卡行業數據安全標準 (PCI) –決策支持系統）。
• 安全編排、自動化和響應 (SOAR)。這些工具自動執行漏洞和日志掃描，以及其他安全操作任務，無需人工操作。此外，SOAR 工具使您可以輕松地將所有安全系統連接和集成到一個有凝聚力的整體中。它們還使根據現有政策實施全面的事件管理響應變得容易。他們的其他功能包括可以幫助管理層改善組織安全狀況的指標和報告。
• 還有執行資產發現和漏洞評估所需的工具。SOC 人員需要對您的基礎架構中當前存在的系統和工具進行盤點。然后，他們可以按照重要性對這些系統進行優先排序。例如，您可能希望密切關注關鍵任務系統，并確保在發生攻擊時首先處理這些系統。在對您的系統進行清點后，SOC 分析師便可以開始識別您的 IT 基礎架構中的任何現有漏洞。評估應針對 Web 應用程序、操作系統和數據庫等。評估會建議您可以采取的適當補救措施。

SOC和NOC的區別

SOC 負責每周 7 天、每天 24 小時監控、檢測和評估組織的安全健康狀況，而 NOC（網絡運營中心）則負責確保網絡性能和速度，并最大限度地減少停機時間。

SOC 工程師和分析師尋找網絡威脅和攻擊企圖，并在公司的數據或系統受到損害之前迅速做出響應。NOC 的工作人員會查找可能會降低網絡速度或導致停機的任何問題。兩者都主動實時監控，目的是在問題損害消費者或員工之前預防問題，并在未來尋找改進方法，以免出現類似問題。

為了應對重大事件和應對危機情況，SOC 和 NOC 應該進行溝通，在某些情況下，SOC 的運營將置于 NOC 內。如果工作人員經過適當培訓并搜索某些危險，NOC 可以識別并響應某些安全問題，尤其是與網絡性能相關的問題。如果不投資于多種工具和技能集，傳統的 SOC 將無法識別和應對網絡性能問題。