什么是安全运营中心 (SOC)?
安全运营中心 (SOC) 是负责监控和管理企业安全态势的集中部门,通常由安全专业人员组成,负责识别、响应和缓解安全威胁。简而言之,SOC 团队负责确保企业始终安全运营。
SOC 的工作是什么?
安全运营中心 (SOC) 的建立是为了促进安全人员之间的协作。SOC 实现了流线化的安全事故处理流程,帮助分析师更高效、更有效地分流和解决安全事故。SOC 的目标是全面了解企业的威胁态势,不仅包括各种类型的端点、服务器和本地软件,还包括第三方服务和这些资产之间的流量。
SOC 的主要职能
掌握所有必要技能的 SOC 员工通常可以识别和应对网络安全事故。团队还与其他部门或团队合作,与利益相关者共享有关事故的信息。一般来说,安全运营中心全天候 24/7 运营,员工轮班工作以缓解威胁并管理日志活动。有时聘请第三方提供商为企业提供 SOC 服务。
SOC 的主要职能包括:
- 监控和管理企业的安全态势。
- 制定和实施安全策略与程序。
- 为员工提供安全意识培训。
- 应对安全事故。
- 分析日志、网络流量和其他数据源,识别潜在的威胁和漏洞。
- 执行漏洞评估。
- 提供威胁情报报告。
- 设计和实施安全解决方案。
SOC 团队还提供事故响应服务,例如取证分析、恶意软件分析和漏洞评估。此外,还可以提供威胁情报服务,例如威胁情报报告和威胁搜寻。
安全事故处理需要这些关键职能,而安全运营团队通常会根据分析人员的经验水平采用层级结构来体现这些职能:
第 1 层级 – 分流
分流发生在 SOC 的第一层级。第 1 层级人员负责对传入的安全事故进行分流并确定事故的严重性。这包括识别事故来源,确定事故范围以及评估事故影响。
第 1 层级人员还负责提供初步响应和遏制措施,并在必要时将事故上报到更高层级。安全分析师通常在这里花费大部分的时间。
第 1 层级分析师通常是经验最少的分析师,主要职能是监视事件日志中是否有可疑活动。当认为某些对象需要进一步调查时,他们会收集尽可能多的信息,然后将事故上报给第 2 层级。
第 2 层级 – 调查
调查发生在 SOC 的第二层级。第 2 层级人员负责调查安全事故并确定事故的根本原因。这包括分析日志、网络流量和其他数据源,识别事故的来源。第 2 层级人员还负责提供详细的事故报告和补救建议。
第 3 层级 – 威胁搜寻
威胁搜寻发生在 SOC 的第三层级。第 3 层级人员负责主动搜寻企业环境中的威胁和漏洞。这包括分析日志、网络流量和其他数据源,识别潜在的威胁和漏洞。
第 3 层级人员还负责提供详细的威胁情报报告和补救建议。最有经验的分析师支持复杂的事故响应,利用剩余时间通过取证和遥测数据查找检测软件可能未识别为可疑的威胁。一般公司在威胁搜寻活动上花费的时间最少,因为第 1 层级和第 2 层级消耗了大量的分析师资源。
SOC 的结构是什么样的?
对于大多数企业而言,网络安全已从最初作为 IT 团队的一个兼职职能发展成为一个主要优先事项。一些安全运营团队仍作为 IT 部门的一部分运作,而另一些则独立成一个组织。
SOC 架构是指 SOC 的整体设计和结构,通常由四个主要部分组成:
- SOC 负责监视和管理企业的安全态势。
- 安全运营经理 (SOM) 负责管理 SOC 的日常运营。
- 安全分析师负责监视和分析日志、网络流量和其他数据源,识别潜在的威胁和漏洞。
- 安全工程师/架构师负责设计和实施安全解决方案,保护企业的环境。
SOC 可以作为基础设施和运营团队的一部分、作为安全小组的一部分、作为网络运营中心 (NOC) 的一部分、直接隶属于首席信息官或首席信息安全官,或者(全部或部分)作为外包职能来运作。
SOC 中心辐射型架构
SOC 中心辐射型架构是构建 SOC 的一种模型。在这种模型中,SOC 由一个中心枢纽和多个辐条组成。枢纽负责管理企业的整体安全态势,而辐条则负责监视和管理企业安全态势的特定领域。
这种模型体现了更大的灵活性和可扩展性,因为企业可以根据需要增添或去除辐条。此外,枢纽还可以对企业的安全运营进行集中监督和协调。
关键的 SOC 角色和职责
SOC 的安全运营人员配置和组织结构通常由安全运营经理、安全分析师、事故响应人员、安全工程师/架构师和安全调查员组成:
- SOC 经理:负责管理 SOC 的日常运营,包括制定和实施安全政策及程序,以及为员工提供安全意识培训。
- 高级安全分析师:负责主动搜寻企业环境中的威胁和漏洞。这包括分析日志、网络流量和其他数据源,识别潜在的威胁和漏洞。
- 事故响应人员:负责响应安全事故,包括识别事故来源、确定事故范围以及评估事故影响。
- 安全工程师/架构师:负责设计和实施安全解决方案,保护企业的环境。这包括设计和实施网络安全解决方案,例如防火墙、入侵检测系统和防病毒软件。
- 安全调查员:负责调查安全事故并确定事故的根本原因。这包括分析日志、网络流量和其他数据源,识别事故的来源。
了解更多有关 SOC 角色与职责的信息,这是安全运营成功的关键。
SOC 即服务 (SOCaaS)
SOCaaS 是一种安全模型,允许第三方供应商在订阅的基础上运营和维护完全托管的 SOC。这种服务涵盖了传统内部 SOC 履行的所有安全职能,包括网络监控、日志管理、威胁检测和情报、事故调查和响应、报告以及风险和合规性。供应商还负责着启用这些服务和提供全天候 24/7 支持所需的所有人员、流程和技术。
进一步了解基于订阅的 SOC 即服务交付模式。
SOC 中的 SIEM 解决方案
安全信息和事件管理 (SIEM) 解决方案是一种帮助企业实时监控和分析其安全数据的安全解决方案。SIEM 解决方案从多个来源收集数据,包括网络设备、应用程序和用户活动,并使用分析来检测潜在威胁。
SIEM 解决方案使企业能够快速响应安全事故并采取纠正措施。对于许多 SOC 而言,这是指核心监控、检测和响应技术,用于监控和聚合网络上软件和硬件的警报和遥测数据,并分析数据以发现潜在威胁。
探索 SIEM 解决方案如何与 SOC 团队相辅相成,识别潜在的安全问题。
安全运营中心最佳实践
SOC 团队的主要重点是实施而不是制定安全战略。这包括部署保护措施以应对事故并分析后果。SOC 团队使用技术进行数据收集、端点监控和漏洞检测,还努力确保遵守法规并保护敏感数据。
在任何工作开始之前,都需要有一个与业务目标相一致并且定义明确的安全战略。一旦战略到位,就必须建立和维护必要的基础设施。这需要各种各样的工具、特性和功能。
以下是建立安全企业的最佳 SOC 实践:
- 建立 SOC:建立一个集中部门,负责监控和管理企业的安全态势。
- 制定安全政策和程序:制定并实施安全政策和程序,确保企业遵守适用的法律和法规。
- 实施安全解决方案:实施安全解决方案,例如防火墙、入侵检测系统和防病毒软件,保护企业的环境。
- 监控和分析日志:监控和分析日志、网络流量及其他数据源,识别潜在的威胁和漏洞。
- 提供安全意识培训:为员工提供安全意识培训,确保员工理解企业的安全政策和程序。
- 执行漏洞评估:执行漏洞评估,识别企业环境中的潜在弱点。
- 应对安全事故:及时响应安全事故,将事故影响降到最低。
SOC 中使用哪些工具?
SOC 使用各种工具进行防御、事件记录、自动化、检测、调查、编排和响应。许多 SOC 团队为其基础设施的不同部分配备了多套孤立的工具。Ovum 和 ESG 等分析公司的研究发现,大多数企业在其 SOC 中使用超过 25 种独立工具。这些工具可能包括:
- SIEM
- 网络入侵检测系统 (NIDS)
- 网络入侵防御系统 (NIPS)
- 安全编排、自动化和响应 (SOAR)
- 安全分析平台
- 端点检测和响应 (EDR)
- 漏洞管理解决方案
- 数据丢失防护 (DLP)
- 身份和访问管理 (IAM)
- 防火墙
XDR 是一类新的检测和响应工具,可集成和关联来自端点、网络和云的数据。XDR 取代了安全运营团队依赖的多种关键工具,旨在提高安全可视性、效率和效果。有关 XDR 如何优化安全运营的更多信息,请查看 Cortex XDR。
安全运营中心 (SOC) 常见问题解答
问:为什么 SOC 这么重要?
答:鉴于必须防止重大网络事故、减少威胁以及随后采用集中式安全运营,安全运营中心可提供检测、预防和缓解攻击的综合方法。专门的 SOC 可以提供持续的保护和不间断的监控以检测异常活动。SOC 还可以通过分析和建模提供主动威胁预防和搜寻。在四个分析师层级之外,拥有一个多样化的安全团队(第 1 层级:分流专家;第 2 层级:事故响应人员;第 3 层级:威胁搜寻人员;第 4 层级:SOC 经理)可以提供更广泛、更深入的覆盖。这些角色包括漏洞经理,威胁情报、恶意软件和取证分析师等头衔。
“安全运营中心 (SOC) 代表了企业安全战略的组织方面。它结合了流程、技术和人员来管理和强化企业的整体安全态势。这个目标通常不能通过单个实体或系统来实现,而是通过复杂的结构来实现。它可以打造情境感知,缓解暴露的风险,帮助满足监管要求。此外,SOC 还提供治理和合规性,将其作为人员运作的框架,根据这个框架量身定制流程和技术。”– 安全运营中心:系统性研究与开放性挑战
问:如何改善我的 SOC?
答:企业需要借鉴现代攻击战术,因为资金雄厚的威胁行为者正在投资机器学习、自动化和人工智能等新工具。来自传统 SOC 环境的挑战可能包括:
- 缺乏可视性和情境。
- 调查的复杂度增加。
- 由安全控制产生的大量低价值警报造成的警报疲劳和“干扰”。
- 缺乏系统的互操作性。
- 缺乏自动化和编排。
- 无法收集、处理威胁情报数据并将其与情境相结合。
要想在当今的威胁面前保持领先地位,投资于能够整合无数互不关联、各自为政的工具,改进 MTTR 和 MTTI 以及减轻分析师倦怠的解决方案,就是一条众所周知的前进之路。
问:SOC 与 SIEM 有什么关系?
答:SOC 通常会在一天内收到大量的安全警报,其中许多都是低保真警报,使安全分析人员疲于应对误报(即错误地指出正在发生恶意活动的警报)。因此,警报数量远远超出了大多数安全团队的有效管理能力,许多警报都没有得到调查。SIEM 解决方案旨在减轻 SOC 分析师的一些负担。尽管 SIEM 并不是 SOC 的必要条件,但两者共同保护内部资源。