安全运营中心:终极 SoC 快速入门指南

网络安全威胁正变得越来越普遍、越来越危险,也越来越难以检测和缓解。根据Ponemon Institute2021 年数据泄露成本研究,组织平均需要 287 天才能检测到泄露,并需要一个多月的时间来控制它。各种规模的公司都需要一个正式的组织结构来负责信息安全,并创建一个有效的检测、缓解和预防流程。这就是安全运营中心 (SoC) 的用武之地。

什么是安全运营中心?

SoC 传统上是组织内的物理设施,其中包含信息安全团队。该团队分析和监控组织的安全系统。SoC 的使命是通过识别、分析和应对网络安全威胁来保护公司免受安全漏洞的影响。SoC 团队由管理人员、安全分析师,有时还有安全工程师组成。SoC 与公司的开发和 IT 运营团队合作。
SoC 是一种经过验证的方法,可以改进威胁检测、降低安全漏洞的可能性并确保在事件发生时做出适当的组织响应。SoC 团队隔离服务器、数据库、网络、端点、应用程序等上的异常活动,识别安全威胁,调查它们,并在安全事件发生时做出反应。
曾几何时,人们认为 SoC 只适用于大型企业。如今,许多较小的组织正在建立轻量级 SoC,例如混合 SoC,它结合了兼职的内部员工,没有专家,或者虚拟 SoC,它根本没有物理设施,并且是一个由内部人员组成的团队。担任其他职能的房屋工作人员。

安全运营中心如何运作?

组织必须首先定义其安全策略,然后提供合适的基础架构供 SoC 团队使用。构成 SoC 活动的信息系统是一个安全信息和事件管理 (SIEM) 系统,它从数百个安全工具和组织系统中收集日志和事件,并生成可操作的安全警报,SoC 团队可以对其进行分析和响应。

核心职责

维护安全监控工具

团队必须定期维护和更新工具。如果没有正确和最新的工具,他们就无法正确保护系统和网络。团队成员应维护在安全过程的每个部分中使用的工具。

调查可疑活动

SoC 团队应调查网络和系统中的可疑和恶意活动。通常,您的 SIEM 或分析软件会发出警报,然后团队分析和检查、分类和发现威胁的程度。

核心流程

警报分类

SoC 收集和关联日志数据,并提供允许分析师审查和检测相关安全事件的工具。

警报优先级

SoC 分析师利用他们对业务环境和威胁形势的了解来确定警报的优先级并确定哪些事件代表真正的安全事件。

补救和恢复

一旦发现事件,SoC 人员负责减轻威胁、清理受影响的系统并将其恢复到正常工作状态。

事后分析和报告

SoC的一项重要功能是记录组织对事件的响应,执行额外的取证分析以确保威胁已被完全控制,并从事件中学习以改进 SoC 的流程。

SoC的重点领域

一个 SoC 在一个组织内可以有几个不同的功能,这些功能可以组合起来。以下是 SoC 重点领域,以及2020 年 Exabeam SoC 报告中为每个领域分配的重要性级别。

SoC重点领域 美国 SoC 的重要程度
控制和数字取证:强制合规、渗透测试、漏洞测试 55%
监控和风险管理:从日志和安全系统中捕获事件、识别事件、响应 73%
网络和系统管理:管理安全系统和流程,例如身份和访问管理、密钥管理、端点管理、防火墙管理等 69%

SoC 部署模型

这些是在您的组织内部署 SoC 的常用模型:

专用SoC 经典 SoC,配备专用设施、专职全职员工、完全内部运营、24×7 运营
分布式SoC 一些全职员工和一些兼职员工,通常在每个地区运营 8×5
多功能 SoC/NoC 具有专门团队的专门设施,可同时执行网络运营中心 (NoC) 和 SoC 的功能
融合SoC 传统 SoC 与威胁情报和运营技术 (OT) 等新功能相结合
命令 SoC/全局 SoC 协调全球企业中的其他 SoC,提供威胁情报、态势感知和指导
虚拟 SoC 没有专门的设施,兼职团队成员,通常会因高调的警报或安全事件而反应和激活。术语虚拟 SoC 有时也用于 MSSP 或托管 SoC(见下文)。
托管 SoC/MSSP/MDR 许多组织正在转向托管安全服务提供商 (MSSP),以在外包的基础上提供 SoC 服务。现代产品称为托管检测和响应 (MDR)。托管 SoC 可以完全外包或与内部安全人员共同管理。

安全运营中心的角色和职责

安全分析师

第一个响应事件的人。他们的响应通常分为三个阶段:威胁检测、威胁调查和及时响应。安全分析师还应确保正确的培训到位,并且员工可以实施政策和程序。安全分析师与内部 IT 人员和业务管理员合作,交流有关安全限制的信息并开发文档。

安全工程师/架构师

维护并建议监控和分析工具。他们创建了一个安全架构并与开发人员合作,以确保该架构是开发周期的一部分。安全工程师可能是在设计信息系统时特别关注安全方面的软件或硬件专家。他们开发工具和解决方案,使组织能够有效地预防和响应攻击。它们记录程序、要求和协议。

SoC 经理

管理安全运营团队并向 CISO 报告。他们监督安全团队,提供技术指导并管理财务活动。SoC 经理监督 SoC 团队的活动,包括招聘、培训和评估员工。其他职责包括创建流程、评估事件报告以及制定和实施危机沟通计划。他们编写合规性报告、支持审计流程、衡量 SoC 绩效指标,并向业务领导者报告安全运营情况。

CISO

定义组织的安全操作。他们与管理层就安全问题进行沟通并监督合规性任务。CISO 对与组织网络安全相关的政策、战略和程序拥有最终决定权。他们还在合规和风险管理方面发挥核心作用,并实施策略以满足特定的安全需求。
在我们详细的SoC 团队指南中了解更多信息。

安全运营中心的好处

事件响应

SoC 全天候运行以检测和响应事件。

威胁情报和快速分析

SoC 使用威胁情报源和安全工具来快速识别威胁并全面了解事件,以便做出适当的响应。

降低网络安全成本

尽管 SoC 是一项重大支出,但从长远来看,它可以防止临时安全措施的成本和安全漏洞造成的损害。

降低调查的复杂性

SoC 团队可以简化他们的调查工作。SoC 可以协调来自网络活动、安全事件、端点活动、威胁情报和授权等来源的数据和信息。SoC 团队可以看到网络环境,因此 SoC 可以简化钻取日志和取证信息等任务。

SoC 挑战以及技术如何提供帮助

安全警报数量的增加

安全警报数量的增加需要分析师的大量时间。在确定警报的准确性时,分析师可能会倾向于从平凡到紧急的任务。结果,他们可能会错过警报,这突出了警报优先级的必要性。Exabeam Advanced Analytics使用 UEBA 技术提供安全警报优先级,这依赖于异常事件的动态分析。这确保分析人员可以找到需要最直接关注的警报。

管理许多安全工具

由于 SoC 和 CSIRT 正在使用各种安全套件,因此很难有效地监控从多个数据点和来源生成的所有数据。一个 SoC 可能使用 20 种或更多技术,这些技术很难单独跟踪和控制。这使得拥有一个中央资源和单一平台变得很重要。SIEM在大多数 SoC 中提供此功能。有关具有高级分析和安全自动化的下一代 SIEM 解决方案的示例,请参阅Exabeam 安全管理平台

技能短缺

人员短缺或缺乏合格人员是一个问题。处理网络安全技能短缺的一个关键策略是自动化 SoC 流程,以节省分析师的时间。此外,组织可能会决定外包。一些组织现在正在外包给 MSSP,以帮助他们提供 SoC 服务。托管 SoC 可以完全外包,也可以与本地安全人员合作外包。
在我们的指南中了解安全技术如何帮助解决 SoC 挑战:SoC、SIEM 和其他基本 SoC 工具

SoC 入门

在设置 SoC 之前要问的问题

可用性和工作时间

你会为你的 SoC 8×5 或 24×7 配备人员吗?

格式

您将拥有独立的 SoC 还是集成的 SoC 和 NoC?

组织

您打算控制内部的一切,还是会使用 MSSP?

优先级和能力

安全性是核心问题,还是合规性是关键问题?监控是主要优先事项,还是需要道德黑客或渗透测试等功能?你会广泛使用云吗?

环境

您使用的是单个本地环境还是混合环境?

设置 SoC 的 5 个步骤

确保每个人都了解 SoC 的工作

SoC 观察和检查端点和组织的网络,并隔离和解决可能的安全问题。在 SoC 和 IT 帮助台之间建立明确的分隔。帮助台用于解决员工 IT 问题,而 SoC 用于解决与整个组织相关的安全问题。

为您的 SoC 提供基础设施

如果没有适当的工具,SoC 团队将无法应对安全威胁。评估和投资能够支持 SoC 有效性并适合您的内部安全团队专业水平的工具和技术。有关现代 SoC 中常用工具的列表,请参阅下一节。

找到合适的人

使用上面列出的角色建立一个安全团队:安全分析师、安全工程师和 SoC 经理。这些专家应该接受逆向工程、入侵检测和恶意软件解剖等领域的持续培训。SoC 经理需要具备强大的安全专业知识、管理技能和久经考验的危机管理经验。

准备好事件响应计划

事件响应团队应制定具体而详细的行动计划。该团队还可以创建一个可重复使用的计划,该计划可以随着时间的推移使用并适应不同的威胁场景。如果需要,业务、公关和法律团队也可能参与其中。团队应遵守预定义的响应协议,以便他们可以建立自己的经验。

防御

SoC的一项关键职责是通过一个专注于检测威胁的专门团队来保护边界。SoC 的目标是收集尽可能多的数据和上下文,确定事件的优先级,并确保快速、全面地处理重要事件。

安全成熟度范围——您准备好使用 SoC 了吗?

SoC 是组织安全成熟度的高级阶段。以下是通常推动公司采取这一步骤的驱动因素:

  • 支付卡行业数据安全标准 (PCI DSS)、政府法规或客户要求等标准要求
  • 企业需要保护非常敏感的数据
  • 过去的安全漏洞和/或公众审查
  • 组织类型——例如,政府机构或财富 500 强公司几乎总是具有证明 SoC 甚至多个 SoC 合理性的规模和威胁概况。

不同的组织发现自己处于发展其安全立场的不同阶段。我们定义了安全成熟度的五个阶段。在第 4 和第 5 阶段,对安全运营中心的投资变得相关且值得。
exabeam - 安全运营中心:终极 SoC 快速入门指南 - 图1

SoC的未来

安全运营中心正在经历一场激动人心的转型。它正在与运营和开发部门整合,并由强大的新技术提供支持,同时保留其传统的指挥结构和角色,以识别和响应关键安全事件。
我们展示了 SIEM 如何成为 SoC 的基础技术,以及下一代 SIEM(包括行为分析、机器学习和 SoC 自动化等新功能)如何为安全分析师开辟新的可能性。

下一代 SIEM 对 SoC 的影响可能很大。它可以:

  • 通过超越关联规则的用户和实体行为分析 (UEBA)减少警报疲劳,有助于减少误报并发现隐藏的威胁。
  • 通过帮助分析师更快地发现事件并收集所有相关数据来改进 MTTD 。
  • 通过与安全系统集成并利用安全编排、自动化和响应 (SOAR) 技术来提高 MTTR 。
  • 通过为分析师提供快速、轻松的访问和对无限量安全数据的强大探索,实现威胁追踪。

Exabeam 是下一代 SIEM的一个示例,它结合了数据湖技术、对云基础设施的可见性、行为分析、自动化事件响应程序以及具有强大数据查询和可视化功能的威胁追踪模块。