什么是安全运营中心 (SoC)?

安全运营中心 (SoC),也称为信息安全运营中心 (ISoC),是信息安全团队监控、检测、分析和响应网络安全事件的集中位置,通常 24/7/365 全天候运行。
由安全分析师和工程师组成的安全团队监督服务器、数据库、网络、应用程序、端点设备、网站和其他系统上的所有活动,其唯一目的是查明潜在的安全威胁并尽快阻止它们。他们还监控可能影响组织安全态势的相关外部来源(例如威胁列表)。
SoC 不仅要识别威胁,还要对其进行分析、调查来源、报告发现的任何漏洞并计划如何防止未来发生类似事件。换句话说,他们正在实时处理安全问题,同时不断寻求改善组织安全状况的方法。
在更大的范围内,还有全球安全运营中心 (GSoC),负责协调遍布全球的安全办公室。如果您在世界各地设有办事处,则 GSoC(而不是为每个国际位置建立 SoC)可以防止每个位置重复任务和功能,减少开销并确保安全团队对整个区域发生的事情有一个全面的了解整个组织。
下面,我们将介绍 SoC 或 GSoC 的基本功能,以及建立 SoC 的关键方面。

SoC 概述

SoC的重要性是什么?

网络攻击对组织的破坏性越来越大。2018 年,数十亿人受到数据泄露和网络攻击的影响,消费者对组织保护其隐私和个人信息能力的信心继续受到侵蚀。近 70% 的消费者认为组织容易受到黑客攻击和网络攻击,并表示他们不太可能继续或开始与受到威胁的组织开展业务。
简而言之,SoC 可确保实时检测和预防威胁。从大局来看,SoC 可以:

  • 响应速度更快:即使您有多个位置和数千个端点,SoC 也可以从安全角度提供整个基础设施的集中、完整、实时视图。您可以在问题给企业造成太大麻烦之前检测、识别、预防和解决问题。
  • 保护消费者和客户的信任:消费者已经对大多数公司持怀疑态度,并担心他们的隐私。创建 SoC 来保护消费者和客户数据有助于建立对您组织的信任。当然,防止违规可以保护这种信任。
  • 最小化成本:虽然许多组织认为建立 SoC 的成本过高,但与违规相关的成本——包括数据丢失、数据损坏或客户流失——要高得多。此外,SoC 人员将确保您为您的业务使用正确的工具以充分发挥其潜力,因此您不会在无效的工具上浪费金钱。

这些好处很难定价,因为它们确实可以让您的业务保持运转。但是您绝对需要 SoC 吗?如果您受政府或行业法规的约束、遭受安全漏洞或从事存储敏感数据(例如客户信息)的业务答案是肯定的。

SoC 有什么作用?

SoC 领导实时事件响应并推动持续的安全改进,以保护组织免受网络威胁。通过使用正确的工具和正确的人员的复杂组合来监控和管理整个网络,一个高功能的 SoC 将提供:

  • 对网络、硬件和软件进行主动、全天候的监控,以进行威胁和违规检测以及事件响应。
  • 精通您的组织使用的所有工具,包括第三方供应商,以确保他们能够轻松解决安全问题。
  • 应用软件的安装、更新和故障排除。
  • 监控和管理防火墙和入侵防御系统。
  • 扫描和修复防病毒、恶意软件和勒索软件解决方案。
  • 电子邮件、语音和视频流量管理。
  • 补丁管理和白名单。
  • 深入分析各种来源的安全日志数据。
  • 分析、调查和记录安全趋势。
  • 调查安全漏洞以了解攻击的根本原因并防止未来的漏洞。
  • 执行安全政策和程序。
  • 备份、存储和恢复。

SoC 使用一系列工具从网络和各种设备中收集数据,监控异常情况并向员工发出潜在威胁警报。然而,SoC 不仅仅是在问题出现时处理它们。
SoC 在未检测到威胁时会做什么?SoC 的任务是通过持续的软件和硬件漏洞分析以及积极收集有关已知风险的威胁情报来发现组织外部和内部的弱点。因此,即使看似没有主动威胁(这可能很少见,因为黑客攻击大约每 39 秒发生一次),SoC 工作人员也在积极寻找提高安全性的方法。漏洞评估包括积极尝试破解自己的系统以发现弱点,这被称为渗透测试。此外,SoC 人员的核心角色是安全分析:确保组织以最佳方式使用正确的安全工具,并评估哪些是有效的,哪些是无效的。

谁在 SoC 工作?

SoC 由技术娴熟的安全分析师和工程师以及确保一切顺利运行的主管组成。这些是专门为监控和管理安全威胁而训练的专业人员。他们不仅熟练使用各种安全工具,而且知道在基础设施遭到破坏时要遵循的特定流程。
大多数 SoC 采用分层方法来管理安全问题,其中分析师和工程师根据他们的技能和经验进行分类。一个典型的团队可能是这样的结构:

  • 第 1 级:第一线事件响应者。这些安全专业人员监视警报并确定每个警报的紧迫性以及何时将其提升到 2 级。1 级人员还可以管理安全工具并运行定期报告。
  • 第 2 级:这些人员通常具有更多的专业知识,因此他们可以快速找到问题的根源并评估基础设施的哪一部分受到攻击。他们将按照程序解决问题并修复任何后果,并标记问题以进行进一步调查。
  • 第 3 级。在此级别,人员由高级专家安全分析师组成,他们正在积极搜索网络中的漏洞。他们将使用先进的威胁检测工具来诊断弱点,并为提高组织的整体安全性提出建议。在这个小组中,您可能还会找到专家,例如法医调查员、合规审计员或网络安全分析师。

  • 第 4 级:该级别由具有最多多年经验的高级经理和首席官组成。该小组负责监督 SoC 团队的所有活动,并负责招聘和培训,以及评估个人和整体绩效。4 级人员在危机期间介入,特别是充当 SoC 团队与组织其他部门之间的联络人。他们也有责任以确保符合组织、行业和政府法规。

    SoC和NoC有什么区别?

    虽然 SoC 专注于 24/7/365 全天候监控、检测和分析组织的安全健康状况,但 NoC 或网络运营中心的主要目标是确保网络性能和速度达到标准,并且停机时间是有限的。
    SoC 工程师和分析师搜索网络威胁和未遂攻击,并在组织的数据或系统受到威胁之前做出响应。NoC 人员会搜索任何可能降低网络速度或导致停机的问题。两者都主动实时监控,目的是在客户或员工受到影响之前预防问题,并寻找持续改进的方法,以免再次出现类似问题。
    SoC 和 NoC 应合作处理重大事件并解决危机情况,在某些情况下,SoC 职能将设在 NoC 内。如果团队经过适当培训并正在寻找这些威胁,NoC 可以检测和响应某些安全威胁,特别是与网络性能相关的威胁。典型的 SoC 没有能力检测和响应网络性能问题,而无需投资不同的工具和技能集。

    入门

    构建 SoC 的最佳实践是什么?

    运行 SoC 的最佳实践包括:制定战略、获得组织范围内的可见性、投资正确的工具、雇用和培训合适的员工、最大限度地提高效率以及根据您的特定需求和风险设计 SoC。

    制定战略

    SoC 是一项重要的投资;您的安全计划有很多事情要做。要创建涵盖您的安全需求的策略,请考虑以下事项:

  • 你需要保护什么?一个本地网络还是全球网络?云还是混合?有多少端点?您是否在保护高度机密的数据或消费者信息?哪些数据最有价值,最有可能成为目标?

  • 您会将您的 SoC 与您的 NoC 合并还是创建两个独立的部门?同样,能力是非常不同的,合并它们需要不同的工具和人员技能。
  • 您需要 SoC 员工提供 24/7/365 全天候服务吗?这会影响人员配备、成本和物流。

  • 您会完全在内部构建 SoC,还是将部分或全部功能外包给第三方供应商?仔细的成本效益分析将有助于确定权衡取舍。

    确保您在整个组织中具有可见性

    您的 SoC 必须能够访问可能影响安全性的所有内容,无论多么小或看似微不足道。除了更大的基础设施外,还包括设备端点、第三方控制的系统和加密数据。

    投资正确的工具和服务

    在考虑构建 SoC 时,首先要关注工具。如果没有正确的自动化工具来处理“噪音”并随后引发重大威胁,那么绝对数量的安全事件将不堪重负。具体来说,您需要投资:

  • 安全信息和事件管理(SIEM)这个单一的安全管理系统提供对网络内活动的全面可见性,收集、解析和分类来自网络上各种来源的机器数据,并分析这些数据,以便您可以在其中采取行动即时的。

  • 端点保护系统:连接到您的网络的每个设备都容易受到攻击。当所述设备访问它时,端点安全工具可以保护您的网络。
  • 防火墙:它将监控传入和传出的网络流量,并根据您建立的安全规则自动阻止流量。
  • 自动化应用程序安全性:自动化所有软件的测试过程,并为安全团队提供有关漏洞的实时反馈。
  • 资产发现系统:跟踪网络上使用的活动和非活动工具、设备和软件,以便您评估风险并解决弱点。
  • 数据监控工具:允许您跟踪和评估数据以确保其安全性和完整性。
  • 治理、风险和合规 (GRC) 系统:帮助您确保在需要的时间和地点遵守各种规则和法规。
  • 漏洞扫描器和渗透测试:让您的安全分析师搜索漏洞并在您的网络中发现未被发现的弱点。

  • 日志管理系统:允许您记录来自网络上运行的每个软件、硬件和端点设备的所有消息。

    聘用最优秀的人才并对其进行良好培训

    聘用有才华的员工并不断提高他们的技能是成功的关键。安全人才市场竞争激烈。一旦你聘用了员工,就不断投资于培训以提高他们的技能;这不仅增强了安全性,还提高了参与度和保留率。您的团队必须了解应用程序和网络安全、防火墙、信息保障、Linux、UNIX、SIEM 以及安全工程和架构。您的最高级别安全分析师应具备以下技能:

  • 道德黑客:您希望您的一个人积极尝试破解您的系统以发现系统中的漏洞。

  • 网络取证:分析师必须调查问题并应用分析技术来理解和保存调查证据。如果案件要上法庭,安全分析师必须能够提供记录在案的证据链,以显示发生的事情和原因。
  • 逆向工程:这是解构或重建软件以了解其工作原理的过程,更重要的是,了解它在哪些地方容易受到攻击,以便团队可以采取预防措施。

  • 入侵防御系统专业知识:如果没有工具,就不可能监控网络流量中的威胁。您的 SoC 需要了解如何正确使用它们的来龙去脉。

    考虑所有选项

    最常见的 SoC 类型包括:

  • 内部 SoC,通常由驻地的全职员工组成。内部 SoC 包括一个物理房间,所有动作都在其中发生。

  • 虚拟 SoC 不在本地,而是由兼职或合同工组成,他们以协调的方式一起工作,以根据需要解决问题。SoC 和组织为这种关系的运作方式设定了参数和指导方针,SoC 提供的支持程度可能因组织的需求而异。
  • 外包 SoC,其中部分或全部功能由专门从事安全分析和响应的外部托管安全服务提供商 (MSSP) 管理。有时这些公司提供特定服务来支持内部 SoC,有时他们处理所有事情 .

    SIEM 如何改进您的 SoC?

    SIEM 使 SoC 更有效地保护您的组织。顶级安全分析师——即使是那些拥有最先进设置的分析师——也无法逐行审查无穷无尽的数据流以发现恶意活动,而这正是SIEM可以改变游戏规则的地方。
    正如我们所提到的,SIEM 收集和组织来自您网络中各种来源的所有数据,并为您的 SoC 团队提供洞察力,以便他们能够快速检测和响应内部和外部攻击、简化威胁管理、最小化风险并获得组织范围的可见性和安全情报。
    SIEM 对于 SoC 任务至关重要,例如监控、事件响应、日志管理、合规性报告和策略执行。仅其日志管理功能就使其成为任何 SoC 的必要工具。SIEM 可以在几秒钟内解析来自数千个来源的大量安全数据,以发现异常行为和恶意活动并自动停止。如果没有 SIEM,大部分活动都不会被发现。
    SIEM 帮助 SoC 将日志汇总在一起,并制定能够实现自动化并可以大大减少错误警报的规则。安全分析师可以将注意力集中在真正的威胁上。此外,SIEM 可以提供强大的报告,有助于进行取证调查和合规要求.