安全運(yùn)營(yíng)中心是一組網(wǎng)絡(luò)安全專(zhuān)業(yè)人員，致力于防止數(shù)據(jù)泄露和其他網(wǎng)絡(luò)安全威脅。 SOC 的目標(biāo)是全天候監(jiān)控、檢測(cè)、調(diào)查和響應(yīng)所有 類(lèi)型的網(wǎng)絡(luò)威脅。

團(tuán)隊(duì)成員使用廣泛的技術(shù)解決方案和流程。其中包括 安全信息和事件管理系統(tǒng) (SIEM)、防火墻、違規(guī)檢測(cè)、入侵檢測(cè)和探測(cè)。SOC 有許多工具可以持續(xù)對(duì)網(wǎng)絡(luò)執(zhí)行漏洞掃描以查找威脅和弱點(diǎn)，并在這些威脅和缺陷變成嚴(yán)重問(wèn)題之前解決這些威脅和缺陷。將 SOC 視為一個(gè)專(zhuān)注于安全而不是網(wǎng)絡(luò)維護(hù)和其他 IT 任務(wù)的 IT 部門(mén)可能會(huì)有所幫助。

現(xiàn)代 SOC 運(yùn)營(yíng)的 6 大支柱

公司可以選擇在內(nèi)部建立安全運(yùn)營(yíng)中心，也可以外包給 MSSP 或 提供 SOC 服務(wù)的托管安全服務(wù)提供商。對(duì)于缺乏資源來(lái)開(kāi)發(fā)自己的檢測(cè)和響應(yīng)團(tuán)隊(duì)的中小型企業(yè)，外包給 SOC 服務(wù)提供商通常是最具成本效益的選擇。通過(guò)安全運(yùn)營(yíng)的六大支柱，您可以制定全面的網(wǎng)絡(luò)安全方法。

• 建立資產(chǎn)意識(shí)第一個(gè)目標(biāo)是資產(chǎn)發(fā)現(xiàn)。構(gòu)成這些資產(chǎn)的工具、技術(shù)、硬件和軟件可能因公司而異，因此團(tuán)隊(duì)必須全面了解可用于識(shí)別和預(yù)防安全問(wèn)題的資產(chǎn)。
• 預(yù)防性安全監(jiān)控談到網(wǎng)絡(luò)安全，預(yù)防總是比反應(yīng)更有效。SOC 不會(huì)在威脅發(fā)生時(shí)對(duì)其進(jìn)行響應(yīng)，而是會(huì)全天候監(jiān)控網(wǎng)絡(luò)。通過(guò)這樣做，他們可以檢測(cè)惡意活動(dòng)并在它們?cè)斐扇魏螄?yán)重?fù)p害之前阻止它們。
• 保存活動(dòng)和通信記錄在發(fā)生安全事件時(shí)，soc 分析師需要能夠追溯網(wǎng)絡(luò)上的活動(dòng)和通信以找出問(wèn)題所在。為此，該團(tuán)隊(duì)的任務(wù)是對(duì)網(wǎng)絡(luò)上發(fā)生的所有活動(dòng)和通信進(jìn)行詳細(xì)的日志管理。
• 對(duì)安全警報(bào)進(jìn)行排名當(dāng)安全事件確實(shí)發(fā)生時(shí)，事件響應(yīng)團(tuán)隊(duì)會(huì)努力對(duì)嚴(yán)重性進(jìn)行分類(lèi)。這使 SOC 能夠優(yōu)先關(guān)注預(yù)防和響應(yīng)對(duì)業(yè)務(wù)特別嚴(yán)重或危險(xiǎn)的安全警報(bào)。
• 修改防御有效的網(wǎng)絡(luò)安全是一個(gè)持續(xù)改進(jìn)的過(guò)程。為了跟上不斷變化的網(wǎng)絡(luò)威脅形勢(shì)，安全運(yùn)營(yíng)中心致力于根據(jù)需要不斷調(diào)整和修改網(wǎng)絡(luò)防御。
• 維護(hù)合規(guī) 2019年，網(wǎng)絡(luò)安全合規(guī)法規(guī)和強(qiáng)制性保護(hù)措施比以往任何時(shí)候都多。除了威脅管理之外，安全運(yùn)營(yíng)中心還必須保護(hù)企業(yè)免受法律麻煩。這是通過(guò)確保它們始終符合最新的安全法規(guī)來(lái)完成的。

安全運(yùn)營(yíng)中心最佳實(shí)踐

在為您的組織構(gòu)建 SOC 時(shí)，必須密切關(guān)注網(wǎng)絡(luò)安全的未來(lái)。這樣做可以讓您制定能夠保護(hù)未來(lái)的實(shí)踐。

SOC 最佳實(shí)踐包括：

擴(kuò)大對(duì)信息安全的關(guān)注

云計(jì)算催生了大量基于云的新流程。它還極大地?cái)U(kuò)展了大多數(shù)組織的虛擬基礎(chǔ)架構(gòu)。與此同時(shí)，物聯(lián)網(wǎng)等其他技術(shù)進(jìn)步也變得更加普遍。這意味著組織比以往任何時(shí)候都更加連接到云。然而，這也意味著他們比以往任何時(shí)候都更容易受到威脅。當(dāng)您著手構(gòu)建 SOC 時(shí)，擴(kuò)大網(wǎng)絡(luò)安全范圍以在新流程和技術(shù)投入使用時(shí)不斷保護(hù)它們至關(guān)重要。

擴(kuò)大數(shù)據(jù)攝入

談到網(wǎng)絡(luò)安全，收集數(shù)據(jù)通常可以證明是非常有價(jià)值的。收集有關(guān)安全事件的數(shù)據(jù)使安全運(yùn)營(yíng)中心能夠?qū)⑦@些事件置于適當(dāng)?shù)沫h(huán)境中。它還使他們能夠更好地確定問(wèn)題的根源。展望未來(lái)，更加關(guān)注收集更多數(shù)據(jù)并以有意義的方式組織數(shù)據(jù)對(duì)于 SOC 至關(guān)重要。

改進(jìn)的數(shù)據(jù)分析

收集更多數(shù)據(jù)只有在您能夠徹底分析并從中得出結(jié)論時(shí)才有價(jià)值。因此，實(shí)施的一項(xiàng)基本 SOC 最佳實(shí)踐是對(duì)您可用的數(shù)據(jù)進(jìn)行更深入和更全面的分析。專(zhuān)注于更好的數(shù)據(jù)安全分析將使您的 SOC 團(tuán)隊(duì)能夠就您的網(wǎng)絡(luò)安全做出更明智的決策。

充分利用安全自動(dòng)化

網(wǎng)絡(luò)安全正變得越來(lái)越自動(dòng)化。采用 DevSecOps 最佳實(shí)踐 來(lái)完成更乏味和耗時(shí)的安全任務(wù)，讓您的團(tuán)隊(duì)可以將所有時(shí)間和精力集中在其他更關(guān)鍵的任務(wù)上。隨著網(wǎng)絡(luò)安全自動(dòng)化的不斷發(fā)展，組織需要專(zhuān)注于構(gòu)建旨在利用自動(dòng)化帶來(lái)的好處的 SOC。

安全運(yùn)營(yíng)中心的角色和職責(zé)

安全運(yùn)營(yíng)中心由多個(gè)單獨(dú)的團(tuán)隊(duì)成員組成。每個(gè)團(tuán)隊(duì)成員都有獨(dú)特的職責(zé)。組成事件響應(yīng)團(tuán)隊(duì)的特定團(tuán)隊(duì)成員可能會(huì)有所不同。您將在安全團(tuán)隊(duì)中找到的常見(jiàn)職位及其角色和職責(zé)包括：

• SOC 經(jīng)理：經(jīng)理是團(tuán)隊(duì)的負(fù)責(zé)人。他們負(fù)責(zé)管理團(tuán)隊(duì)，制定預(yù)算和議程，并向組織內(nèi)的執(zhí)行經(jīng)理報(bào)告。
• 安全分析師：安全分析師負(fù)責(zé)組織和解釋來(lái)自 SOC 報(bào)告或?qū)徲?jì)的安全數(shù)據(jù)。此外，通過(guò)提供實(shí)時(shí)風(fēng)險(xiǎn)管理、 漏洞評(píng)估和安全情報(bào)，可以深入了解組織的準(zhǔn)備狀態(tài)。
• 法醫(yī)調(diào)查員：在發(fā)生事件時(shí)，法醫(yī)調(diào)查員負(fù)責(zé)分析事件以收集數(shù)據(jù)、證據(jù)和行為分析。
• 事件響應(yīng)者：事件響應(yīng)者是第一個(gè)在安全警報(bào)發(fā)生時(shí)收到通知的人。然后，他們負(fù)責(zé)對(duì)警報(bào)進(jìn)行初步評(píng)估和威脅評(píng)估。
• 合規(guī)審計(jì)員：合規(guī)審計(jì)員負(fù)責(zé)確保團(tuán)隊(duì)執(zhí)行的所有流程都以符合監(jiān)管標(biāo)準(zhǔn)的方式進(jìn)行。

SOC 組織模式

并非所有 SOC 都在相同的組織模型下構(gòu)建。 安全運(yùn)營(yíng)中心的流程和程序 因許多因素而異，包括您獨(dú)特的安全需求。

安全運(yùn)營(yíng)中心的組織模式包括：

內(nèi)部 SOC

內(nèi)部 SOC 是一個(gè)內(nèi)部團(tuán)隊(duì)，由在組織內(nèi)工作的安全和 IT 專(zhuān)業(yè)人員組成。內(nèi)部團(tuán)隊(duì)成員可以分布在其他部門(mén)。他們還可以組成自己的安全部門(mén)。

內(nèi)部虛擬 SOC

內(nèi)部虛擬 SOC 由遠(yuǎn)程工作的兼職安全專(zhuān)業(yè)人員組成。團(tuán)隊(duì)成員主要負(fù)責(zé)在收到警報(bào)時(shí)對(duì)安全威脅做出反應(yīng)。

共同管理的 SOC

共同管理的 SOC 是與第三方網(wǎng)絡(luò)安全服務(wù)提供商一起工作的安全專(zhuān)業(yè)人員團(tuán)隊(duì)。這種組織模式本質(zhì)上將半專(zhuān)用的內(nèi)部團(tuán)隊(duì)與第三方 SOC 服務(wù)提供商相結(jié)合，以共同管理網(wǎng)絡(luò)安全方法。

指揮 SOC

指揮 SOC 負(fù)責(zé)監(jiān)督和協(xié)調(diào)組織內(nèi)的其他 SOC。它們通常只出現(xiàn)在足夠大且擁有多個(gè)內(nèi)部 SOC 的組織中。

融合 SOC

融合 SOC 旨在監(jiān)督組織更大的 IT 團(tuán)隊(duì)的工作。他們的目標(biāo)是在安全問(wèn)題上指導(dǎo)和協(xié)助 IT 團(tuán)隊(duì)。

外包虛擬 SOC

外包虛擬 SOC 由遠(yuǎn)程工作的團(tuán)隊(duì)成員組成。但是，外包的虛擬 SOC 不是直接為組織工作，而是第三方服務(wù)。外包的虛擬 SOC 為沒(méi)有內(nèi)部安全運(yùn)營(yíng)中心團(tuán)隊(duì)的組織提供安全服務(wù)。

充分利用 SOC 提供的優(yōu)勢(shì)

面對(duì)不斷變化的安全威脅，安全運(yùn)營(yíng)中心提供的安全性是組織可用的最有益的途徑之一。擁有一支由專(zhuān)門(mén)的信息安全專(zhuān)家組成的團(tuán)隊(duì)來(lái)監(jiān)控您的網(wǎng)絡(luò)、安全威脅檢測(cè)并努力加強(qiáng)您的防御，這對(duì)于確保敏感數(shù)據(jù)的安全大有幫助。