什么是安全運營中心？安全運營中心，也稱為 SOC，是組織內(nèi)的集中式安全中心，負(fù)責(zé)持續(xù)監(jiān)控組織的安全環(huán)境，例如安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、應(yīng)用程序、公司設(shè)備以及任何其他與之交互的技術(shù)或服務(wù)該組織。除了對安全威脅進(jìn)行持續(xù)監(jiān)控、威脅分析和補(bǔ)救之外，安全運營中心還負(fù)責(zé)改進(jìn)現(xiàn)有的安全計劃，以確保組織的安全態(tài)勢盡可能穩(wěn)健和強(qiáng)化。

為了滿足這些計劃，安全運營中心不斷地從跨越整個組織的一系列數(shù)據(jù)源中獲取和記錄數(shù)據(jù)，提供安全運營團(tuán)隊可用于實時安全分析的實時安全數(shù)據(jù)。在此過程中，SOC 團(tuán)隊將全天候觀察、分析和修復(fù)潛在的安全威脅，并將關(guān)鍵的安全威脅信息傳遞給最高層領(lǐng)導(dǎo)。

安全運營中心如何工作？

成功的安全運營中心的關(guān)鍵組成部分之一是使用安全信息和事件管理系統(tǒng)，也稱為 SIEM。安全信息和事件管理系統(tǒng)旨在從服務(wù)中獲取實時數(shù)據(jù)，這些服務(wù)從組織網(wǎng)絡(luò)中的一系列設(shè)備輪詢關(guān)鍵安全數(shù)據(jù)。從 SIEM 收集的數(shù)據(jù)可以以多種方式使用。例如，SIEM 收集的可疑數(shù)據(jù)可用于生成可疑或異常事件的警報。

SIEM 用于將安全相關(guān)數(shù)據(jù)匯集到漏洞評估解決方案中，例如入侵防御系統(tǒng) (IPS)、入侵檢測系統(tǒng) (IDS)、安全特定數(shù)據(jù)庫、數(shù)據(jù)倉庫和威脅情報平臺 (TIP)，用于進(jìn)一步執(zhí)行數(shù)據(jù)的安全操作。

安全運營中心的好處

擁有 SOC 的主要好處之一是組織從該安全計劃中獲得的增強(qiáng)的安全態(tài)勢。投資于安全運營中心的組織受益于對其整個組織的持續(xù)監(jiān)控，24/7 全天候收集有關(guān)其網(wǎng)絡(luò)、設(shè)備和應(yīng)用程序的實時數(shù)據(jù)。這極大地減少了組織從事件到響應(yīng)的時間，從而大大減輕了攻擊的潛在損害。采用強(qiáng)大 SOC 模型的組織更有可能及早發(fā)現(xiàn)惡意攻擊并減少潛在網(wǎng)絡(luò)安全攻擊的損害。

安全運營中心的挑戰(zhàn)

安全運營中心面臨兩大障礙：人員短缺和技能短缺。

• 人員短缺：在當(dāng)今充滿活力的就業(yè)市場中，組織難以招聘和留住頂尖人才。在安全領(lǐng)域尤其如此。今年年初有近 500,000 個安全職位空缺，而且沒有足夠的合格候選人來填補(bǔ)這些職位，安全團(tuán)隊繼續(xù)人手不足和過度使用。
• 技能短缺：安全行業(yè)也受到技能短缺的嚴(yán)重影響。當(dāng)人員配備有限時，組織可以接觸到不太合格的候選人。這意味著雇主的任務(wù)是在內(nèi)部提高員工的技能或依靠現(xiàn)有員工（有時來自外圍部門）承擔(dān)額外的工作職責(zé)。

什么是安全運營中心工具？

安全運營中心充當(dāng)當(dāng)今依賴技術(shù)的現(xiàn)代組織的威脅識別和遏制策略。威脅遏制依賴于一系列安全應(yīng)用程序、服務(wù)和工具來降低網(wǎng)絡(luò)攻擊的風(fēng)險。

每個安全運營中心在他們選擇用來強(qiáng)化其安全環(huán)境的安全工具方面都是獨一無二的。但是，有少數(shù)安全應(yīng)用程序、服務(wù)和工具在大多數(shù)安全運營中心中都很常見。

行為監(jiān)控系統(tǒng)

行為監(jiān)控是任何現(xiàn)代安全運營中心的標(biāo)準(zhǔn)做法，是監(jiān)控各種組織屬性的過程，目的是發(fā)現(xiàn)可能表明存在安全威脅的異常情況。

行為監(jiān)控工具將分析的常見屬性是：

• 網(wǎng)絡(luò)活動
• 可疑下載
• 端點重新啟動
• 違反政策
• 評估入站/出站流量的地理位置
• 錯誤信息

端點監(jiān)控系統(tǒng)

用戶端點是當(dāng)今網(wǎng)絡(luò)安全攻擊中最容易受到攻擊的目標(biāo)之一。不幸的是，用戶很容易打開惡意電子郵件或成為社會工程攻擊的受害者。主動端點監(jiān)控在當(dāng)今安全運營中心的重要性列表中居高不下。

SIEM（安全信息和事件管理）

安全信息和事件管理系統(tǒng) (SIEM) 的任務(wù)是從各種安全應(yīng)用程序、服務(wù)和工具收集實時安全數(shù)據(jù)，并為可疑活動生成警報。SIEM 是安全運營中心中最重要的工具之一，因為它充當(dāng)中央數(shù)據(jù)收集中心，幾乎所有與安全相關(guān)的決策都依賴于該中心。

入侵檢測系統(tǒng) (IDS)

入侵檢測系統(tǒng)或簡稱 IDS 是安全運營中心的另一個關(guān)鍵組件。IDS 的任務(wù)是監(jiān)控流入和流出網(wǎng)絡(luò)的數(shù)據(jù)。它的作用是識別和標(biāo)記在組織網(wǎng)絡(luò)中傳播的潛在安全威脅。

入侵保護(hù)系統(tǒng) (IPS)

入侵保護(hù)系統(tǒng)（或簡稱 IPS）與 IDS 類似，因為它的作用是緩解通過組織網(wǎng)絡(luò)進(jìn)行的威脅。然而，與 IDS 不同，其中可疑數(shù)據(jù)包被識別并標(biāo)記以供安全運營團(tuán)隊采取進(jìn)一步行動，IPS 將實時識別并從網(wǎng)絡(luò)中刪除可疑數(shù)據(jù)包。

了解 SOC 團(tuán)隊的角色和職責(zé)

當(dāng)今安全運營團(tuán)隊的結(jié)構(gòu)對于任何組織的成功都至關(guān)重要。安全運營團(tuán)隊中的個人不僅需要接受適當(dāng)?shù)呐嘤?xùn)，而且整個團(tuán)隊必須以和諧的方式運作，以確保其組織的安全性和完整性。

• 首席信息安全官 (CISO)：首席信息官或 CISO 是 C-Suite 職位，其任務(wù)是就影響整個公司的安全計劃做出高層決策。

這些人將制定與安全相關(guān)的戰(zhàn)略和行動，這些戰(zhàn)略和行動將滲透到安全運營中心的領(lǐng)導(dǎo)層，例如事件響應(yīng)主管和 SOC 經(jīng)理，以確保他們在安全運營和威脅預(yù)防運營方面的方法一致。

• 高級安全經(jīng)理：高級安全經(jīng)理的任務(wù)是監(jiān)督其 SOC 團(tuán)隊的所有操作，并就團(tuán)隊在發(fā)生嚴(yán)重安全威脅時應(yīng)如何操作和響應(yīng)提供高級指令。高級安全經(jīng)理還負(fù)責(zé)與首席信息安全官 (CISO) 溝通指導(dǎo)，以傳遞有關(guān)嚴(yán)重安全問題的信息。
• 事件響應(yīng)者：事件響應(yīng)者負(fù)責(zé)配置和管理安全監(jiān)控工具以及報告已識別的網(wǎng)絡(luò)威脅。該角色負(fù)責(zé)監(jiān)督數(shù)百個日常安全威脅，并負(fù)責(zé)就如何處理潛在的安全威脅做出實時決策。
• SOC分析師：SOC 分析師的任務(wù)是為 L2/L3 安全分析師監(jiān)控安全事件和分類警報。他們將調(diào)查所有可疑活動并響應(yīng)警報。

VMware 如何為安全運營中心賦能？

VMware 提供了一套安全解決方案來實現(xiàn)您的安全運營中心的現(xiàn)代化。借助 VMware，您可以自信、快速、準(zhǔn)確地擴(kuò)展您的響應(yīng)。VMware 通過同類最佳的平臺提供開箱即用的運營信心并縮短解決問題的時間。