安全运营 1:网络安全守护神(SoC)
黑客正在寻找一种方法实现这样一种场景:在进行攻击时,不接受任何“答案不正确”的否定回答,并且该攻击过程持续的时间最好可以长一些。
——《Security Weekly》的创始人兼首席技术官Paul Asadoorian如是说。
随着网络设备的增多,黑客在不断地使用最新技术武装自己,攻击手段在不断地变化,攻击工具也在不断地更新,攻击者甚至会尝试采用不同的技术,利用组织中所有可能的安全漏洞,进行不间断地攻击。
为了在黑客攻击之前发现并阻止他们,一般情况下,公司会有一个专门的网络安全团队(Security Operations Center),或者专业的外包团队,其主要任务是提前发现并阻止网络攻击,及早采取响应措施。
什么是安全运营中心?
安全运营中心通常被简称为SoC(Security Operations Center),是公司内24x7全天候工作的核心团队,时刻监视着网络活动,及时应对安全威胁。SoC团队的目标是使用一系列的解决方案或工具,再结合工作流,最大程度上缓解网络攻击。
与常规的IT部门不一样。SoC通常由一些专业的安全工程师组成,根据企业的不同,SoC可能包括在网络安全领域具有某些特定技能或深谙某种攻击技术的安全专家,例如入侵检测、恶意软件逆向工程、风险分析、取证分析、密码分析等;另一方面体现在SoC的安全职责,SoC的核心职责是阻止网络攻击和监视用户授权的遵守情况,对各种安全事件进行分析、统计和关联,及时发布告警,快速响应。
阻止网络攻击
SoC通过监控和分析多种网络设备的运行状态,如服务器、数据库、应用程序、网站和其他系统上的网络活动,对多个“毫不相干”的网络事件进行关联分析,寻找潜在的恶意网络安全行为。这也对SoC人员有了另一个要求,即需要实时了解最新的网络犯罪活动,了解最新的网络安全应对措施。
此外,SoC还应制定多个计划,定期执行网络检查、更新系统、修补漏洞和更新防火墙规则。但有些时候,一些正常的网络活动也会触发告警,如新规则的添加或者对现有规则的修改都会触发告警,产生误报,因此SoC人员应制定一些合理的计划,旨在消除误报。
监视用户授权的遵守情况
满足IT合规性要求从来都不是一项简单的工作,更不是一次性的工作。无论是公司内部安全策略审核还是为了遵守IT法规要求,监视网络中是否存在任何的用户违规行为是必不可少的。SoC需要实时监视常规的用户活动,更需要监视那些有变更行为的用户活动,确保公司始终满足合规性标准,如PCI DSS,HIPAA,SOX,GDPR,FISMA等法规的一个最基本的要求就是需要公司有一个对用户活动的实时审计报表。
SoC如何工作?
SoC主要借助于安全信息和事件管理(SIEM)解决方案来阻止网络攻击并满足IT合规性要求,这些SIEM解决方案会使用多种技术来建立一个完整的网络安全监控系统,维护公司网络的安全性,并关联所有安全事件以检测任何潜在的攻击迹象,避免一切网络攻击。
SIEM解决方案提供的主要功能包括
- 日志管理
- 事件管理
- 特权用户活动监控
- 威胁情报
- 用户实体和行为分析(UEBA)
- 取证分析和报告
- 文件完整性监控
- 数据库和应用程序审核
- 网络设备审核
- Active Directory变更审核
这些功能之所以都重要,是因为其中任何一项的监控被忽视,都会导致整个网络受到不同程度或不同类型的攻击,以及长时间的修复,因此SoC选择一个可以自动监控并采取措施的SIEM解决方案非常重要。