什么是安全运营中心 SOC
安全运营中心 (SOC) 有时也称为信息安全运营中心或 ISOC,是 IT 安全专业人员的内部或外包团队,可 24/7 式全天候监控组织的整个 IT 基础架构,以实时检测网络安全事件并尽可能快速有效地解决问题。
SOC 负责筛选、运营和维护组织的网络安全技术,并持续分析威胁数据,以找到方法来改善组织的安全态势。
运营或外包 SOC 的主要优势在于它可统一并协调组织的安全工具、实践以及对安全事件的响应。 这通常能够改进预防措施和安全策略、更快地检测威胁以及对安全威胁作出更快、更有效且更具成本效益的响应。 SOC 还可以提高客户信心,简化并加强组织对行业、国家和全球隐私法规的合规性。
网络攻击一年比一年复杂,但 SOC 却由拥有丰富知识和技能的安全专家监控。
随着保护信息资产的安全措施水平的提高,它会导致风险降低。
此外,通过安装 SOC 来增强数据保护,不仅可以保护威胁漏洞,还可以保护客户信任。
准备、计划和预防
资产清单。 SOC 需要维护一份详尽的清单,其中涉及数据中心内外需要加以保护的一切内容(如应用程序、数据库、服务器、云服务、端点等)以及对此类内容提供保护的所有工具(防火墙、防病毒/反恶意软件/反勒索软件工具、监控软件等)。 许多 SOC 采用资产发现解决方案来处理此项任务。
日常维护和准备。 为了最大限度提高现有安全工具和措施的有效性,SOC 会执行预防性维护,如应用软件补丁和升级,并不断更新防火墙、白名单和黑名单以及安全策略和程序。 SOC 还会创建系统备份,或协助创建备份策略或程序,以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。
事件响应计划。 SOC 负责制定组织的事件响应计划,该计划定义了发生威胁或事件时的活动、角色、责任,以及衡量任何事件响应成功与否的指标。
定期测试。 SOC 团队将执行全面的漏洞评估,确定每项资源存在的潜在威胁漏洞及关联成本。 它还将执行渗透测试,在另一系统上模拟特定攻击。 团队会根据这些测试的结果对应用程序、安全策略、最佳实践和事件响应计划进行修补或调优。
随时了解最新情况。 SOC 可随时了解最新的安全解决方案和技术,以及最新的威胁情报,比如从社交媒体、行业资源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。
安全运营中心SOC 活动和职责分为三大类
监控、检测和响应
监控、检测和响应
持续、全天候的安全监控。SOC 监控整个扩展的 IT 基础设施——应用程序、服务器、系统软件、计算设备、云工作负载、网络 -- 7x24x365 全天候监控已知漏洞的迹象和任何可疑活动。
对于许多 SOC 而言,核心监控、检测和响应技术是 安全信息和事件管理,即 SIEM。SIEM 实时监控和聚合来自网络上软件和硬件的警报和遥测数据,然后分析数据以识别潜在威胁。最近,一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术提供更详细的遥测和监控,以及自动化事件检测和响应的能力。
对于许多 SOC 而言,核心监控、检测和响应技术已属 安全信息和事件管理(或 SIEM) 的范畴。 SIEM 会实时监控和汇集来自网络上软件和硬件的警报和遥测数据,然后分析数据以识别潜在威胁。 最近,一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术提供了更详细的遥测和监控数据,且能够自动执行事件检测和响应。
恢复、改进和合规性
恢复和补救。 一旦事件得到控制,SOC 就会消除威胁,然后将受影响资产恢复到事件发生前的状态(例如擦除、恢复和重新连接磁盘、最终用户设备和其他端点;恢复网络流量;重新启动应用程序和进程)。 如果发生数据泄露或勒索软件攻击,恢复过程还可能涉及切换到备份系统,以及重置密码和身份验证凭据。
事后分析和改进。 为防止事件再次发生,SOC 会利用从事件中获得的任何新情报来更好地解决漏洞、更新流程和策略、选择新的网络安全工具或修改事件响应计划。 在更高层面上,SOC 团队还可能试图确定此事件是否意味着出现了新的或变化的网络安全趋势,需要团队做好应对准备。
合规管理。 SOC 的职责是确保所有应用程序、系统和安全工具和流程符合数据隐私法规。
拥有 安全运营中心 SOC 的好处
拥有 安全运营中心 SOC 的好处
拥有 SOC 的主要优势是通过不断筛选和检查数据活动来增强安全事件发现。通过评估公司网络中的这项活动,安全运营中心团队对于确保及时发现和响应安全事件非常重要。SOC 提供的全天候筛查为组织提供了防止事件和中断的好处,无论其来源、时间或攻击类型如何。Verizon 的年度数据泄露调查报告充分认识到黑客入侵的时间与组织的发现时间之间的差距。拥有一个安全运营中心可以帮助公司关闭这个漏洞,并随时掌握周围环境中的威胁。