什么是 SOC? 安全运营中心(SOC)是一个由 IT 安全专业人员组成的团队,通过监控、检测、分析和调查网络威胁来保护组织。对网络、服务器、计算机、终端设备、操作系统、应用程序和数据库进行持续检查,以发现网络安全事件的迹象。SOC 团队分析信息源、制定规则、识别例外情况、加强响应并留意新的漏洞。
鉴于现代企业的技术系统全天候运行,SOC 通常会全天候轮班工作,以确保对任何新出现的威胁做出快速反应。SOC 团队可以与其他部门和员工合作,也可以与第三方 IT 安全提供商合作。
在建立 SOC 之前,企业必须制定符合其业务目标和挑战的总体网络安全战略。许多大型组织都有内部 SOC,但也有一些组织选择将 SOC 外包给第三方托管安全服务提供商。
安全情报和运营咨询服务包括一系列安全解决方案,可在安全威胁面前保持领先。
SOC 的主要任务是安全监控和警报。这包括收集和分析数据,以识别可疑活动,提高组织的安全性。威胁数据从防火墙、入侵检测系统、入侵防御系统、安全信息和事件管理(SIEM)系统以及威胁情报中收集。一旦发现差异、异常趋势或其他入侵迹象,就会立即向 SOC 团队成员发出警报。
资产发现
通过深入了解组织内使用的所有硬件、软件、工具和技术,SOC 可确保对资产进行安全事件监控。
行为监测
SOC 对技术基础设施进行 24/7/365 的异常分析。SOC 采用被动和主动措施,以确保快速发现和处理异常活动。对可疑活动进行行为监控,以尽量减少误报。
保存活动日志
SOC 团队必须记录企业内发生的所有活动和通信。通过活动日志,SOC 可以回溯并确定过去可能导致网络安全漏洞的行为。日志管理还有助于设定正常活动的基线。
警报排名
所有的安全事件都不尽相同。有些事件对组织造成的风险比其他事件更大。分配严重性等级有助于 SOC 团队优先处理最严重的警报。
事件响应
SOC 团队在发现漏洞时执行事件响应。
根本原因调查
事件发生后,SOC 可能会负责调查事件发生的时间、方式和原因。在调查过程中,SOC 依靠日志信息来追踪根本问题,从而防止问题再次发生。
合规管理
SOC 团队成员的行为必须符合组织政策、行业标准和监管要求。
正确实施 SOC 可以带来以下诸多好处:
人才缺口
挑战:填补现有网络安全职位空缺所需的网络安全专业人员数量缺口巨大。2019 年的缺口为 407 万专业人员。在如此稀缺的情况下,SOC 每天都在 "走钢丝",团队成员极有可能不堪重负。
解决方案:企业应着眼内部,考虑提高员工技能,以填补 SOC 团队的空缺。如果职位突然空缺,SOC 的所有职位都应配备一名具备所需专业知识的后备人员,或者学会根据技能的价值支付报酬,而不是使用所能找到的最低价资源。
老练的攻击者
挑战:网络防御是企业网络安全战略的关键组成部分。它需要特别关注,因为复杂的行为者拥有躲避防火墙和端点安全等传统防御所需的工具和技术。
解决方案:部署具有异常检测和/或机器学习功能并能识别新威胁的工具。
大量数据和网络流量
挑战:一般企业处理的网络流量和数据量非常巨大。随着数据量和流量的飞速增长,实时分析所有这些信息的难度也在不断增加。
解决方案:SOC 依靠自动工具来过滤、解析、汇总和关联信息,从而将人工分析减少到最低限度。
警报疲劳
挑战:在许多安全系统中,异常情况经常发生。如果 SOC 依赖未经过滤的异常警报,那么大量的警报很容易让人应接不暇。许多警报可能无法提供调查所需的背景和情报,从而分散团队对实际问题的注意力。
解决方案:配置监控内容和警报等级,以区分低保真警报和高保真警报。使用行为分析工具,确保 SOC 团队集中精力首先处理最不寻常的警报。
未知威胁
挑战:传统的基于签名的检测、端点检测和防火墙无法识别未知威胁。
解决方案:SOC 可以通过实施行为分析来发现异常行为,从而改进其基于签名、规则和阈值的威胁检测解决方案。
安全工具过载
挑战:为了抓住所有可能的威胁,许多组织采购了多种安全工具。这些工具往往相互脱节,范围有限,而且不具备识别复杂威胁的复杂性。
解决方案:利用集中监控和警报平台,重点采取有效的应对措施。
运行良好的 SOC 是有效的企业网络安全计划的神经中枢。SOC 是了解复杂而庞大的威胁环境的窗口。SOC 不一定非要在企业内部才能有效。由经验丰富的第三方运营的部分或全部外包 SOC 可以随时满足企业的网络安全需求。SOC 是帮助组织快速应对入侵的核心。
更智能、更简单的保护
主动检测内部风险、新型攻击和高级持续性威胁
利用实时检测和本地 SOAR 加速威胁检测和响应
实施 SIEM 日志管理解决方案,用于安全分析、调查和合规。