- 如何建立安全运营中心 (SoC):人员、流程和技术">如何建立安全运营中心 (SoC):人员、流程和技术
- @d1vious">@d1vious
- @BattletstedLLC">@BattletstedLLC
- @SinglePointOC">@SinglePointOC
- @sambocetta">@sambocetta
- @ZakEmulator">@ZakEmulator
- @phoenixnap">@phoenixnap
- @csITsupport">@csITsupport
- @sec2_0">@sec2_0
- @Mosaic451">@Mosaic451
- @scissecurity">@scissecurity
- @sndgrss">@sndgrss
- @strongcybersec">@strongcybersec
- @Cytellix">@Cytellix
- @CHA公司">@CHA公司
- @linseah">@linseah
- @eSUBinc">@eSUBinc
- @TritonTech">@TritonTech
如何建立安全运营中心 (SoC):人员、流程和技术
建立一个安全运营中心是一项重大任务,但如果配置得当,可以为您的企业提供足够的安全性,这是非常值得的。构建 SoC 需要对人员、流程和技术进行仔细规划和协调。一个全面运作的 SoC 将具有必要的能力,以帮助保护您的组织在现代威胁环境中的安全。
那么建立一个安全运营中心需要什么?为了找出答案,我们联系了一个领先的安全专家小组,请他们就这个问题发表意见:“构建安全运营中心 (SoC) 需要哪些人员、流程和技术?”
阅读下面的回复,了解我们的专家对构建安全运营中心所需的人员、流程和技术的看法。
@d1vious
“如果没有 SoC,通常会出现孤立的、不完整的可见性,从而导致更弱的安全态势……”
通过将所有安全专家和相关数据整合到一个中心位置,可以更快、更有效地发现威胁。SoC 利用人员、流程和技术,通过提高整个组织的安全性来降低安全风险。
SoC 团队需要各种熟练的安全专家,这些专家通常分为 3 个主要层级。第一层是 SoC I 工程师。他们负责检测、识别和排除出现的安全事件。通常这是与受影响方通信的层。我认为它们是行动的眼睛和耳朵,因为它们的主要功能是检测、分类和攻击升级。他们还负责找到减轻攻击的最有效方法。第二层是 SoC II,他们的职责是减轻 SoC I 检测到的攻击。第三层也是最后一层是 SoC III。这些工程师在 SoC 中担任最有经验的技术安全角色。为了减少和优化 SoC I 和 SoC II 的运行方式,
构建 SoC 时必须着手的最关键和第一个过程是威胁建模。威胁建模需要回答以下问题:
- 我的组织关心哪些威胁?
- 威胁是什么样的?
- SoC 如何阻止/检测威胁?
一旦针对 SoC 旨在缓解的威胁回答了这些问题,就会构建剧本以记录如何响应、设置严重性以及如何升级这些特定威胁类型。其他需要考虑的重要过程是换档时间和模型(即跟随太阳或旋转)。Follow the Sun 是指安全工程师根据他们的特定时区轮班工作,通常在公司有多个办公室或工程师远程工作时选择。轮换是指公司在一个地点以外的地方运营并轮换班次。运营连续性侧重于轮班交接、轮班报告以及向网络或基础设施等外部团队的升级。
构建 SoC 的最后一个方面是最常讨论的话题。这项技术可以分为三个部分。第一步是确定要使用的数据源。通常,这些是由检测部分的剧本驱动的。常见的数据源是网络活动/安全事件(防火墙、IDS/IPS、netflow、漏洞扫描器)、威胁情报(内部和外部源)、端点活动(ETDR、DNS、DHCP、AV、操作系统日志),最后是授权( LDAP、活动目录、VPN、SSO)。第二部分是一个安全智能平台(包括一个 SIEM)。安全情报平台不仅负责从上面列出的所有数据源中引入数据,还负责在检测到威胁时关联、识别和提醒 SoC 工程师。
建立一个安全运营中心有许多活动部分,但将它们分成几个部分并通过威胁模型练习来解决每个部分,可以实现挑战。
@BattletstedLLC
“建立安全运营中心 (SoC) 并非易事……”
与利益相关者和供应商的许多基准测试、规划和谈判都进入了整个 SoC 工作。在建立、装备和配备 SoC 时,绝对没有一种万能的方法。
首先,SoC 应该扩展到公司的全球足迹或运营 SoC 的特定业务部门的控制范围。许多财富 100 强公司都有一个主要的 SoC,称为全球安全运营中心 (GSoC),它可以得到全球关键地区的小型 SoC 的支持,这些 SoC 对公司具有战略价值。
一些大型组织以集中方式管理,其中警报、视频监控和情报地图从卫星办公室、供应商应用程序和开放新闻源输入 GSoC。其他组织可能以分散的方式进行管理,其中区域 SoC 更加独立,决策过程保留在特定业务部门内,这些业务部门仅与总部共享关键信息,并帮助协调高管和员工的出差。SoC 中始终存在一些冗余,因此如果一个处于离线状态,那么另一个可以承载管理负载和维持运营。
一般来说,安全是人员、技术和程序的结合。安全技术领域发展如此之快,以至于当需要进行基准测试、招标、安装、故障排除和从法律、财务、IT 和全球合规部门获得支持时,新技术现在已经过时了。
SoC 的标准设备包括视频监视器、访问控制系统(与 ID 和徽章相关联)、入侵检测系统、交互式地图技术、多个控制台以及管理中心所需的人数。如果考虑到 8 小时轮班、周末、假期等,仅配备一个 24/7 的职位,大约需要 4.5 人。
管理 SoC 的一个关键要素是确保所使用的技术和平台与其他国家的信息系统同步良好,并且易于在国外使用。在某些情况下,全球部署的集成访问控制和视频系统设计过度,并且具有与其他系统兼容的狭窄参数。如果发生故障,比方说在土耳其,唯一可以修复它的技术将不得不从德克萨斯州飞来。我上面描述的所有内容都与物理安全相关,再加上只关注 IT 安全的混合安全元素,GSoC 变得更加复杂。对于几家公司来说,
@SinglePointOC
人们
您需要训练有素且经过认证的员工,他们熟悉基于安全的警报和场景。由于安全威胁和问题不断变化,因此您需要能够适应并在解决问题时跳出框框思考的人。攻击可以有多种不同的形式和类型,因此拥有可以快速学习的人很重要。您可能还需要拥有安全许可的人员,因此您需要非常好地筛选您的技术人员。
流程
安全性依赖于行业广泛接受的一系列要求。为了拥有成功的 SoC,您需要使自己符合所有不同类型的安全要求,例如 NIST、PCI、HIPAA 等等。有大量与所有这些要求相关的安全控制。您不仅想熟悉控件是什么,还想熟悉如何修复它们。与检测安全问题一样,需要对安全问题进行适当的补救。
技术
您想构建一个可以执行安全审计、渗透测试和端口扫描的软件工具箱。有许多基于商业的系统可以提供入侵防御、入侵检测和分析。你应该有一个好的票务系统、文件系统和库存系统。您还应该通过连接到网站和安全源来了解所有安全趋势,以了解最新事件。
@sambocetta
人们
您可能已经有人员准备好帮助填补事件响应者和 SoC 分析师的角色,或者您可能需要评估其他选项,例如外包(通过托管安全服务提供商,称为 MSSP),甚至聘请专家来提供突发事件响应(IR) 支持。我相信这些选项的混合组合非常有效。
在SANS 事件响应报告中,61% 的受访者呼吁他们自己的应急人员来管理严重事件,58% 的受访者拥有专门的响应团队。要点是,仅使用内部团队或完全外包的工作,高质量的组织很少能完全满足需求。SoC员工必须能够应对不断变化的压力并接受频繁的培训。无论我们谈论的是事件调查员、主题专家还是 SoC 经理,这都是使其成为一项极具挑战性的工作的原因。
流程
质量 SoC 中心和流程都是关于流程的。流程需要对行动进行极端标准化,以确保没有遗漏或捏造。根据我的经验,创建可重复的事件管理工作流和流程可确保团队成员在将警报从第 1 层升级到第 3 层时作为一个有凝聚力的单位有效运作。基于这些工作流的标准化,可以非常有效地分配资源。
技术
随着数据聚合方法的改进,任何质量 SoC 的有效性也会提高。随着便携式 DAQ 设备的出现,安全监控系统可以获取多个数据点并将它们构建到当前和过去的连续事件日志中。
借助在事件之前和期间收集的网络、日志和端点数据,SoC 分析师可以立即从将安全监控系统用作检测工具转向将其用作调查工具,审查构成当前的可疑活动事件,甚至作为管理事件或违规响应的工具。
对于许多希望开发自己的专有系统以确保总体安全性的组织来说,这些系统的兼容性仍然是一个问题。
@ZakEmulator
“安全运营中心经常提供……”
来自监督、评估和保护组织信息系统的专用站点的远程支持。由于这些高度复杂的设施负责保护关键任务网络及其资产的完整性,因此可用性是其功能最重要的方面之一。在构建安全运营中心时,必须在上线之前对网络性能进行彻底的测试和验证。最具成本效益和最可靠的方法是使用网络仿真器。通过复制反映真实网络的测试网络,可以在实验室环境中评估和优化预部署应用程序性能。这将有助于避免任何潜在的问题,并确保网络在运行后按预期运行。
@phoenixnap
“SoC的建立需要周密的规划……”
必须考虑其物理安全性,运营中心的布局应精心设计,既舒适又实用。建立高效的安全运营中心 (SoC) 需要以改善沟通和提高效率的方式组织内部资源。
SoC 预计将包含多个区域,包括操作室、“作战室”和主管办公室。在这种情况下,舒适、可见性、效率和控制是关键术语,每个区域都必须进行相应的设计。
SoC 需要一个团队,并且必须正确遵循所有政策。将需要领导者,而工程角色、分析师角色和运营职能对团队都至关重要。
@csITsupport
“为设备齐全的安全运营中心选择合适的人员、流程和技术是一项真正的挑战,因为……”
需要有才华、受过网络安全教育的员工,而且要找到合适的人来进行持续监控和全面数据分析并不总是那么容易。网络安全专家必须具备有效安排时间优先级和管理时间的能力。此外,必须获得最新的工具来及时了解威胁,并获得可根据环境(本地、云或混合)简化监控过程的可定制工具。SoC 必须制定标准程序来查找、捕获和区分复杂威胁和简单威胁,并保护数据免受目标威胁的侵害并对其做出响应。SoC技术应该能够监控网络流量、端点、日志、安全事件等,以便分析师可以利用这些信息来识别漏洞并防止违规。当检测到可疑活动时,您的平台应创建警报,表明需要进一步调查。还建议多级升级。
@sec2_0
“当谈到保持组织的安全时……”
安全运营中心的核心能力必须是避免直接影响品牌和/或破坏公司整体发展的安全故障。这要求人员、流程和技术有机地发展,以保护核心技术,适应不断变化的业务条件,并在不影响运营弹性的情况下为全球威胁做好准备和响应。为了实现人员、流程和技术的一致性,设计 SoC 的人员必须考虑以下几点:
- 网络保护:通过上下文和内容驱动的防御来保护关键资产和利益。
- 攻击面管理:提供提供各种防线的工具,以确保防止恶意代码到达目标。
- 身份和访问管理:确保授权访问并防止未经授权访问系统和数据。
- 事件响应:先发制人地识别和破坏攻击。拥有认知工具来学习此类攻击树并设计杀伤链。
- 业务弹性:拥有 IT 灾难恢复管理、业务连续性计划以及有效的危机管理指挥和控制。
除了这些控制措施外,SoC 还需要具备自我意识,并应不断重新校准流程或技术以管理网络安全并帮助所有利益相关者做好准备。
@Mosaic451
“现代信息系统非常复杂,而且日益复杂……”
即使是小型组织也必须一年 365 天、每天 24 小时监控和保护多个系统免受入侵和勒索软件的侵害,同时保持对 HIPAA、PCI、SOX、FISMA 和 CIP 等监管和行业标准的合规性。
远程监控、现场专用 SoC 或两者兼有- 一些托管安全提供商提供的服务静态“菜单”可能无法满足您组织的需求。当今复杂的数据环境需要针对每个客户的环境单独定制的安全解决方案。选择远程监控和分析、在您的场所运行的专用 SoC 中心,或者为了最大限度地提高安全性和成本效益,选择结合了两者的混合解决方案。
不仅仅是监控——传统的 SoC 提供对客户系统的远程监控,仅此而已。最佳实践是执行远程监控并作为一个全面的运营团队,处理资源密集型运营任务,例如:
- 管理防御
- 安全管理和监控
- 日志管理
- 漏洞管理
- PCI、HIPAA、SOX、FISMA 和 CIP 等法规的关键控制和合规性报告
- 关键基础设施的 SCADA 安全和监控
建立 SoC 的最佳方法是主动而非被动。防止攻击发生比在攻击发生后做出反应要好。最有效的 SoC 团队将保护和监控网络的外围、数据、客户和远程用户,以便 SoC 能够检测、分析并立即响应 24/7/365 威胁。
@scissecurity
“这是 SoC 构建要求的简明答案……”
重要的是要记住,虽然这些高层次的组件易于设计并且可能起草程序大纲,但 SoC 程序的实施和修订是其成功的关键。
人员
您需要经过认证的初级和高级分析师担任眼睛、事件处理人员和其他专家。其中,您需要具备逆向工程技能的恶意软件分析师、威胁搜寻分析师和深度取证调查分析师。此外,SoC 还需要威胁情报分析师来帮助将危害指标联系在一起。您的初级到中级分析师将专注于自动监控、分类和基本响应。此外,包括工程团队在内的支持人员需要为主动响应和监控工具构建、调整和部署内容做好准备。SoC 经理和轮班主管也需要执行 KPI 监控。
流程
SoC 主要是关于 DFIR。您将需要围绕具有最佳实践、事件响应处理要求和补救措施的监控的工作流和流程。在 SoC 的 DFIR 之外,最容易被忽视的流程之一是内容管理和反馈部分。分析师需要能够请求内容并向他们的管理层和安全工程团队提供工具有效性反馈,以实现持续改进。
技术
每个 SoC 都有 2 个主要软件。一个事件管理系统和一个用于关联的 SIEM。有时这些技术是一体成型的。更成熟的 SoC 还具有将 SIEM、IMS 和安全工具联系在一起的编排软件,以启动“主动响应”,其中有时可以对警报和事件进行自动修复和分类,以进一步提高 SoC 效率。支持 SoC 任务的其他辅助部分包括报告、威胁情报平台、潜在的票务/内容请求系统以及安全的虚拟通信渠道。
@sndgrss
“安全运营中心 (SoC) 是……”
组织对预防、检测和响应攻击的能力和业务至关重要的核心。构建 SoC 需要强大的高级管理支持、明确定义的可衡量目标和有针对性的 SoC 能力成熟度级别。路线图必须建立一个分阶段的方法,以在一系列领域(监控、恶意软件分析、威胁识别等)构建能力,以处理从网络到物理的广泛威胁。
所需的技能集类型(入侵检测、云安全等)、人员配备模型和培训计划都是人员考虑因素之一。临时人才与员工人才的正确组合对于降低间接成本并保留内部智力资本非常重要。沟通技巧与技术技能一样重要。SoC 人员必须与业务利益相关者和高级管理层进行有效沟通,以便在一切照旧和紧急情况下升级和传达威胁性风险和问题,从而做出正确的业务决策。
选择正确的技术组合很重要。没有单一的银弹。公司需要一套工具来解决他们的风险,这些技术必须集成并具有互操作性。技术差异很大,从聚合来自多个系统的取证数据的能力到执行分析以检测攻击的能力。一个关键工具是实时警报和报告,因为及时检测对于在攻击期间快速响应至关重要。技术的选择必须平衡实现目标、投资回报率和最小化风险。
流程标准和文件对于防止在紧急情况下因“战争迷雾”而发生代价高昂的操作错误非常重要。流程应符合行业标准(即 ISO ISO27001:2013),但应适应组织的需求。标准操作程序、事件响应计划等应至少解决中高风险和严重程度的情况。
@strongcybersec
“我们需要有合适的人,接受过正确的培训,担任正确的安全角色……”
三层系统是一个好的开始。例如,可以根据国防部指令 8570(简称为 DoD 8570)对三层系统进行建模,该指令在网络安全界被广泛认为是确定履行特定安全角色所需的认证的优秀框架。8570 与供应商无关,是一个简单的三层图表,将各种认证映射到特定的安全角色。例如,这些角色可以是安全分析师、安全工程师和安全经理。
其次是政策。必须编写正式的政策,并且这些政策必须得到企业主/高管等的支持,以便 SoC 人员能够有效地执行这些政策。然而,这并不像听起来那么难,因为 SoC 可能想要的每一个安全策略都已经编写好,并且可以通过 NIST、ISO、SANS 等轻松获得。通常这些策略需要为特定组织量身定制,但它们绝对不需要从头开始编写。另一个优秀的资源(只是在商业世界中使用得不够多)是 DoD 的 STIG(安全技术实施指南)。
3P 的最后一个(但并非最不重要的)是“产品”或技术。我们必须拥有正确的技术,例如 CRM(客户关系管理)、故障单系统、KMS(知识管理系统),当然还有各种供应商工具来维护我们所保护的技术。
@Cytellix
“有些 SoC 由非常熟练的资源运行……”
根据最终客户授予的权限分析事件并提供解决方案。在其他情况下,一些 SoC 使用可以根据严重性进行测量和警报的工具高度自动化,以便熟练的主题专家可以对相关威胁或行为采取行动。
SoC 可以在安全行业内以多种形式交付。在某些情况下,它是对系统、网络、数据库应用程序和端点的事件监控,以识别、评估和修复安全问题。在其他情况下,与访问控制相关的设施与基础设施相关。在其他情况下,可以提供 SoC 以根据设备行为识别主动事件。根据特定行业,所需的工具因 SoC 的不同而异。从访问控制技术到 SIEM,再到行为分析,一切都可以成为 SoC 中使用的技术。
@CHA公司
“在设计 SoC 时不要忘记操作员……”
踏入SoC,感觉自己在战舰的舰桥上,是一件很欣慰的事;但是,应该赞赏船员的工作流程和舒适度要求。安全运营中心的布局设计时应考虑到操作员,而不仅仅是为了方便为项目付费的经理。太多的 SoC 似乎主要是为每天两次走进房间并希望看到满墙的屏幕、各种安全指标仪表板、KPI 和状态更新的高管设计的。设计 SoC 时要充分考虑将 24/7 全天候为 SoC 配备人员的操作员的人体工程学要求。
@AegisFS
“建立安全运营中心的关键要求包括……”
- 内部场所必须位于可以安装和操作 T-1 直接有线互联网服务或卫星天线的地方。
- 干扰服务必须延伸到停车场,并且您不应允许任何访客带入您的场所:手机、iPad、笔记本电脑或其他设备。演示文稿应在会议前提交以供检查和审查。
- 不允许拍照。
- 没有现场访客。访客应提前 24 小时收到邀请和预先批准。
- 访客应签署保密协议,会议前后不应在社交媒体上发帖。
- 所有访客在进入前都应通过多个探测器:在他们身上发现的金属物体必须通过电子扫描进行检查。任何失败都可能导致被驱逐出设施。
拥有和维护 SoC 并不容易。为了确保我们的设施 100% 不受外界窃听、非法活动和其他邪恶行为的影响,我们公司每平方英尺额外花费了 130.00 美元。
@linseah
“创建正确的安全运营中心的第一步是……”
进行差距分析,以找出组织在网络安全方面的优势和劣势。一旦他们了解了自己的弱点,他们就可以遵循四个基本原则:
- 定义所有 SoC 要求,然后制定路线图。
- 确定是创建内部 SoC 还是外包。
- 创建识别和阻止威胁的流程。
- 实施有助于和支持 SoC 工作的技术。
@eSUBinc
“在寻求建立安全运营中心时……”
第一步是进行差距分析,看看你在网络安全方面的弱点和优势在哪里。之后,您的公司将了解 SoC 所需的要求。
- 创建适合您的业务现实的 SoC。
- 为 SoC 分配任务,例如检查内部滥用行为、事件管理、检测外部攻击和合规性监控。
- 监管和决定谁将负责识别 SoC 收集和分析的数据。
- 设立负责管理SoC的人员。
- 准确概述将输入 SoC 以进行分析和审查的安全事件类型。
@TritonTech
“构建 SoC 的要求包括……”
- 你需要有一个安全的设施。视频数据、日志等应异地备份。
- 你的人需要经过背景调查。我们的每一位员工在上岗前都经过了严格的审查。
- 拥有多个系统供您的人员访问安全监控,以防万一出现故障。
- 有可用的备用 Internet 访问权限。我们有同轴、DSL、卫星和蜂窝互联网访问,所有这些都通过多个防火墙运行,以防发生中断。
- 拥有多种权力手段。在我们的设施中,我们拥有电网、屋顶太阳能电池阵列和发电机的备用电池。
- 拥有多种沟通方式。
- 训练你的人。许多违规行为是由于社会工程学而发生的。员工应该学习如何识别这些攻击。
- 利用干净的办公桌和个人使用政策。工作区绝对没有个人手机,使用后也不会在办公桌上留下任何纸张。