安全运营中心的角色和职责
什么是 SoC 团队?
安全运营中心(通常称为 SoC)是一个持续监控和分析组织安全程序的团队。它还可以防御安全漏洞并主动隔离和降低安全风险。
SoC 团队有五个关键角色:
安全分析师
网络安全的第一响应者。他们报告网络威胁并实施保护组织所需的任何更改。他们被认为是抵御网络安全威胁的最后一道防线,与安全经理和网络安全工程师一起工作,通常向 CISO 报告。
安全工程师
通常是软件或硬件专家,负责维护和更新工具和系统。他们还负责其他团队成员可能需要的任何文档,例如数字安全协议。
SoC 经理
负责 SoC 团队。他们指导 SoC 运营并负责分析师和工程师之间的同步;招聘;训练; 制定和执行网络安全战略。他们还指导和协调公司对主要安全威胁的响应。
首席信息安全官 (CISO )
负责制定安全相关战略、政策和运营的领导职位。他们与首席执行官密切合作,就安全问题向管理层通报和报告。
事件响应 (IR) 主管
大型安全组织中的一个角色,负责在事件发生时对其进行管理,并在发生重大数据泄露时向组织传达安全要求。
在本文中,您将学习:
- SoC 角色和职责
- SoC 团队与 CSIRT – 有什么区别?
- 如何确定您是否需要 SoC 团队、CSIRT 团队或两者都需要?
- 建立成功的 SoC 团队的最佳实践
- 测量 SoC 团队
SoC 角色和职责
SoC 分析师分为四个层次。首先,SIEM 警报流向一级分析师,他们对其进行监控、优先排序和调查。真正的威胁会传递给具有更深入安全经验的第 2 层分析师,他们会进行进一步分析并决定遏制策略。
严重的违规行为被提升到第 3 级高级分析师,该分析师负责管理事件并负责持续积极地寻找威胁。第4 层分析师是 SoC 经理,负责招聘、战略、优先级以及在发生重大安全事件时直接管理 SoC 人员。
下表更详细地解释了每个 SoC 角色。
| 角色 | 资格 | 职责 |
|---|---|---|
| 一级分析师 警报调查员 |
系统管理技能;网络编程语言,例如 Python、Ruby、PHP;脚本语言;安全认证,例如 CISSP 或 SANS SEC401 | 监控 SIEM 警报、管理和配置安全监控工具。确定警报或问题的优先级和分类,以确定是否正在发生真正的安全事件。 |
| 二级分析师 事件响应者 |
与第 1 层分析师类似,但在事件响应等方面拥有更多经验。高级取证、恶意软件评估、威胁情报。道德黑客认证或培训是一个主要优势。 | 接收事件并进行深入分析;与威胁情报相关联,以识别威胁参与者、攻击性质以及受影响的系统或数据。定义并执行遏制、补救和恢复策略。 |
| 3 级分析师 主题专家/威胁猎手 |
类似于第 2 层分析师,但拥有更多经验,包括高级别的事件。具有渗透测试工具和跨组织数据可视化的经验。恶意软件逆向工程,识别和开发对新威胁和攻击模式的响应的经验。 | 日常进行漏洞评估和渗透测试,并审查警报、行业新闻、威胁情报和安全数据。积极寻找已经进入网络的威胁,以及未知的漏洞和安全漏洞。当发生重大事件时,与第 2 级分析师一起响应并控制它。 |
| Tier 4 SoC Manager 指挥官 |
与第 3 层分析师类似,包括项目管理技能、事件响应管理培训和强大的沟通技巧。 | 就像一个军事单位的指挥官,负责雇佣和培训 SoC 人员,负责防御和进攻战略。管理资源、优先级和项目,并在响应关键业务安全事件时直接管理团队。组织的安全事件、合规性和其他安全相关问题的联系人。 |
| 安全工程师 支持和基础设施 |
计算机科学、计算机工程或信息保障学位,通常与 CISSP 等认证相结合。 | 专注于信息系统设计中安全方面的软件或硬件专家。创建解决方案和工具,帮助组织稳健地应对运营中断或恶意攻击。有时在 SoC 内工作,有时作为开发或运营团队的一部分支持 SoC。 |
SoC 团队与 CSIRT – 有什么区别?
计算机安全事件响应团队 ( CSIRT ),也称为 CERT 或 CIRT,负责接收、分析和响应安全事件。CSIRT 可以在 SoC 下工作,也可以独立运行。
CSIRT 与 SoC 有何区别?虽然 CSIRT 的核心功能是最大程度地减少和管理由事件造成的损害,但 CSIRT 不仅处理攻击本身,还处理攻击本身。他们还与客户、高管和董事会进行沟通。
如何确定您是否需要 SoC 团队、CSIRT 或两者都需要?
单一实体的情况
通常,希望有一个统一 SoC 和 CSIRT 的实体。为什么?因为检测和响应之间的区别并不明确,甚至可能变得无关紧要。例如,威胁搜寻用于识别威胁,但也用作响应方法。
SoC 团队和 CSIRT 都使用安全编排、自动化和响应 (SOAR) 工具,这可能表明这些团队需要合并,因为并不总是清楚谁拥有该工具并对其发展负责。与威胁情报 (TI) 相关的活动也提供了拥有单个实体的案例。单一的 TI 消费职位可以提供对识别和响应方法的洞察。
团结这些团体的另一个原因与管理劳动力有关。SoC 的一个问题是很难保持一级分析师的积极性,尤其是在他们晚上和周末工作时。通过将事件响应和威胁搜寻结合在一起,您可以创建工作轮换选项。
单独实体的情况
一些行业专家认为,保持 SoC 团队和 CSIRT 分开可以让他们专注于核心目标,即检测与响应。此外,有时由于多个区域办事处或子公司需要多个 SoC,但由于调查结果的敏感性,组织希望保持事件响应集中。
外包的战略计划可能要求将这两个职能分开。今天,这可能不是问题,因为许多 SoC 作为混合组织运作。但是,将 SoC 和 CSIRT 分开可能有助于组织明确界定合作伙伴的职责。
建立成功的 SoC 团队的最佳实践
安全运营团队面临许多挑战:他们可能工作过度、人手不足,而且往往很少得到高层管理人员的关注。安全运营最佳实践可以为公司提供保护自己所需的工具,并为 SoC 团队提供更好的工作环境。
高效的 SoC 使用安全自动化
通过使用高技能的安全分析师和安全自动化,组织可以分析更多的安全事件,识别更多的事件,并更有效地防范这些事件。
使用有效的技术
你的 SoC 的能力取决于它的技术能力。技术应该收集和汇总数据、预防威胁并在威胁发生时做出响应。配备工具和数据源的团队可以将误报率降至最低,这样可以最大限度地利用分析师调查真实安全事件的时间。在我们的详细指南中了解更多关于现代 SoC 中使用的SoC、SIEM和其他工具的信息。
及时了解当前的威胁情报
来自组织内部的威胁情报数据与来自外部来源的信息相结合,为 SoC 团队提供了对漏洞和威胁的洞察力。外部网络情报包括签名更新、新闻提要、事件报告、漏洞警报和威胁简报。SoC 工作人员可以利用提供集成威胁情报的 SoC 监控工具。
人员和职责
组织通常在子公司之间以及在合作伙伴组织和业务部门之间分担管理职责。应该使用组织的安全策略标准来定义与任务和响应责任相关的责任。组织还可以定义与 SoC 相关的每个业务部门或机构的角色。
保卫外围
SoC 团队的一项关键职责是保卫外围,但分析人员需要收集哪些信息?他们在哪里可以找到这些信息?
SoC 团队可以考虑所有数据输入,例如:
- 网络信息,例如 URL、哈希和连接详细信息
- 端点监控、扫描仪揭示的漏洞信息、安全情报源、入侵防御 (IPS) 和检测 (IDS) 系统
- 操作系统
- 拓扑信息
- 面向外部的防火墙和防病毒软件
衡量 SoC 团队
组织需要衡量 SoC 团队的绩效,以不断改进他们的流程。以下是一些重要指标,可以帮助展示 SoC 中的活动规模,以及分析师处理工作负载的效率。
| 公制 | 定义 | 它测量什么 |
|---|---|---|
| 平均检测时间 (MTTD) | SoC 检测事件的平均时间 | SoC 在处理重要警报和识别真实事件方面的有效性 |
| 平均解决时间 (MTTR) | SoC 采取行动并消除威胁之前的平均时间 | SoC 在收集相关数据、协调响应和采取行动方面的效率如何 |
| 每月病例总数 | SoC 检测和处理的安全事件数量 | 安全环境的繁忙程度以及 SoC 管理的行动规模 |
| 案例类型 | 按类型划分的事件数量:网络攻击、损耗(蛮力和破坏)、电子邮件、设备丢失或被盗等。 | SoC 管理的主要活动类型,以及预防性安全措施应重点关注的领域 |
| 分析师生产力 | 每位分析师处理的单元数 - 第 1 层的警报、第 2 层的事件、第 3 层发现的威胁 | 分析师在覆盖尽可能多的警报和威胁方面的效率如何 |
| 案件升级细分 | 进入 SIEM 的事件数量、报告的警报、疑似事件、确认事件、升级事件 | 每个级别的 SoC 的有效容量以及不同分析师组的预期工作量 |
关键要点
- 现代 SoC 需要开发、运营和安全团队之间的合作与协作。日益复杂的基础架构和敏捷流程的速度需要安全团队无法自行实现的功能。
- 有效的安全工具应支持事件响应过程的所有步骤。集中信息、提供快速分析和支持深入调查是关键。
- 谨慎使用的指标可以帮助您评估 SoC 流程的有效性。确保将度量结果纳入评估和细化过程。
了解有关安全运营中心的更多信息
终极 SoC 快速入门指南
SoC、SecOps 和 SIEM 如何协同工作
若有收获,就点个赞吧
0 人点赞
