通过安全运营中心加强您的业务

安全运营中心(SOC)允许组织针对安全威胁保持主动、全天候的防御态势。使用可供使用的各种工具，配备 SOC 的专家可以在威胁在您的网络中站稳脚跟之前识别并阻止威胁。这使得 SOC 成为任何组织中的重要组成部分。

安全运营中心做什么？

组织不断受到不良行为者的威胁。借助 SOC，他们可以通过识别和分析直接环境中发生的一切，主动保护公司免受外部威胁。但是，如果设置不当且没有利益相关者的支持，SOC 可能无法保护您的企业。此外，面对不断变化的威胁环境，SOC 需要不断发展。

SOC 负责：

预防和检测威胁。网络、服务器、数据库、端点和应用程序都受到 SOC 的审查，任何可疑和异常的事物都会受到调查。通过这种全天候监控，可以在潜在的安全威胁对您的 IT 基础架构造成严重破坏之前将其阻止。
调查可疑活动。当检测到可疑活动时，安全分析师会立即采取行动并检查威胁是否已在网络中站稳脚跟。考虑到当前在全球范围内传播的威胁，并确定这些威胁是否可能参与了攻击，分析人员确定了可能已被破坏的基础设施部分。
实施响应。当某事确实通过了公司的防御时，SOC 会根据其调查结果实施针对攻击的拟议响应，直到威胁被消除。

如何实施安全运营中心

要实施 SOC，首先要起草一份明确的安全政策，以便组织中的每个人都知道自己的职责是什么，以及这与您的帮助台以及组织内其他团队的职责有何不同。帮助台处理用户在日常工作中遇到的问题，而 SOC 则负责维护整个组织的安全。一旦安全策略到位，您就可以开始通过防火墙、防病毒软件、端点保护系统和入侵检测系统来保护您的基础设施，如果您还没有在组织范围内部署它们的话。除了这些基本要素之外，您还需要添加其他专门设计用于管理威胁的工具。

安全运营中心的重要性

除了流程和技术之外，为SOC 配备知道如何持续监控和分析潜在威胁的人员也很重要。典型的 SOC 人力包括以下内容：

• 首席信息安全官 (CISO)。C 级官员最终负责组织的安全操作。CISO 设定组织的总体安全方向，并在安全问题上与 CEO 和管理层进行协调。
• 事件响应主管。事件响应主管负责管理事件并在发生威胁或违规时传达安全要求。
• SOC经理。SOC 经理负责 SOC 运营以及管理和雇用 SOC 团队，指导和协调对主要安全威胁的响应。在某些组织中，SOC 经理还担任事件响应主管。
• 安全分析师。安全分析师负责检测和响应安全威胁，实施安全措施并负责灾难恢复计划。
• 安全工程师。安全工程师负责维护和更新工具和系统，记录安全协议并将其传播给其他员工。

安全运营中心的四种工作角色

SOC人员可分为四种角色，即：

• 第 1 层支持。第 1 层支持负责监视、确定优先级和调查安全事件。
• 第 2 层支持。与第 1 层支持相比，第 2 层支持更有经验，负责更详细地审查事件并推荐包含威胁的行动方案。
• 第 3 层支持。负责主动寻找威胁，第 3 层支持还分析组织是否存在任何安全漏洞。作为最有经验的人，他们管理可能会破坏或证明对组织的运营造成灾难性后果的重大事件。法医调查员属于这一组。
• 第 4 层支持。SOC 经理和 SOC 内的其他高级官员可被视为第 4 层支持人员，对所有安全事件（无论大小）全面负责。

制定一项政策，只为您的 SOC 雇用最合格的人员。还制定培训计划，以确保 SOC 员工掌握最新技能。在这方面，与人力资源 (HR) 密切协调。

拥有安全运营中心有什么好处？

拥有 SOC 的一个主要卖点是通过由受过培训的人员进行的主动、全天候监控来及早发现威胁。及时响应意味着即使不能完全避免，也可以将攻击造成的潜在损害降到最低。不仅避免了对公司基础设施的广泛破坏，而且避免了计划外停机造成的潜在重大损失。因此，更快地解决安全事件意味着更低的业务中断损失。

其他好处包括：

• 安全运营的中央枢纽。由于 SOC 负责所有与 IT 安全相关的事务，因此不会混淆哪个办公室或人员负责处理事件，并且一旦检测到和识别攻击，就可以使用训练有素的人员共同努力打击攻击。SOC 使强大的威胁响应成为可能，无论威胁来自何处。
• 具有成本效益的解决方案。让 SOC 在中央位置之外运行可以节省成本。此外，由 CISO 或 SOC 内的其他等效机构负责获取安全相关系统，组织可以避免获取不同的系统，这些系统不仅可能很昂贵，而且会使您的基础架构进一步复杂化。
• 改进威胁响应。由于中心位置的专家可以访问各种工具来识别威胁，并且喜欢与之分享想法，因此更有可能做出最初有效的威胁响应，从而有效地减少攻击的影响。

可以采用哪些类型的安全运营中心？

传统的SOC位于物理设施中，并配备了负责分析和监控安全系统的专家。以前，只有较大的组织才有 SOC。如今，较小的组织正在采用 SOC 来应对来自各地的越来越多的威胁。SOC 的设置和维护成本很高，需要在运营和人员方面进行大量初始投资。维护成本也不是微不足道的。此外，在为您的组织决定 SOC 类型时，组织成熟度也很重要。

常见的 SOC 类型包括：

• 内部 SOC。在此模型中，组织自行运营和配备 SOC，无需任何外部帮助。尽管建立起来可能需要一些时间，而且可能很难找到并留住足够的训练有素的人员，但从长远来看，投资于自己的 SOC 的组织通常能够更好地应对外部威胁。它非常适合能够分配 24/7 运营所需预算并具有构建它的专业知识的大型组织。
• 托管 SOC。在这个模型中，组织寻求外部专家的帮助来建立 SOC。提供商运营 SOC 并对事件做出响应。您已获悉这些事件，但您的员工并未参与解决这些事件。这种模式非常适合专业知识和预算有限的小型组织。即使是拥有专业知识且预算??有限的组织也可能会发现这种模式是最适合采用的模式。由于提供商有责任响应您的网络威胁，因此此模型可能不适合需要遵守严格监管标准的组织。
• 混合 SOC。在此模型中，内部员工和外部专家混合在组织的 SOC 中工作。外部专家的帮助为内部员工提供了极好的学习机会，使他们能够培养自己的技能。如果组织稍后过渡到完整的内部 SOC，则员工会做好更好的准备。对于具有一定专业知识但尚未准备好拥有自己的 SOC 的组织来说，这种模式非常适合，但从长远来看，这种模式可能会证明成本很高。与托管 SOC 模型一样，它也不适合受严格政府法规约束的组织，除非您能找到一种方法只让内部员工处理敏感信息。
• 虚拟 SOC。这可以称为即时的，因为 SOC 及其成员只有在存在迫在眉睫的威胁或事件已经发生时才会被激活。虽然负责 SOC 的兼职人员可能有能力并具备必要的经验，但这种类型的 SOC 也是最不受欢迎的，因为它不提供与其他类型的 SOC 相同的保护。
• 网络运营中心 (NOC)。在此模型中，NOC 承担了 SOC 的角色。这意味着安全操作只是分配给 NOC 的关键 IT 任务之一。这可能会证明是有效的，尤其是当您的 NOC 中有经验丰富的安全分析师时。

安全运营中心需要哪些工具？

防火墙、防病毒软件、端点保护系统和入侵检测系统用于在初始阶段阻止恶意攻击，帮助防止威胁进入您的网络。此外，还需要其他类型的软件来自动化安全操作、分析威胁和管理事件响应。其中包括：

• 用户和实体行为分析 (UEBA)。UEBA 允许监控个人用户和机器是否有任何可疑行为。这种类型的软件收集有关用户或机器的信息，以及这些人或设备如何用于访问网络中的服务器、应用程序和数据库。他们帮助记录和识别任何类型的偏离规范的活动。然后，分析人员可以查看日志以查看该行为是否可能构成威胁。
• 安全信息和事件管理 (SIEM)。这些工具记录与安全相关的事件并执行日志分析，以识别并提醒组织注意可能构成威胁的任何事件。凭借其日志报告功能，这些工具还可用于帮助组织遵守必要的法规，例如通用数据保护条例 (GDPR)、健康保险流通与责任法案 (HIPAA) 和支付卡行业数据安全标准 (PCI) –决策支持系统）。
• 安全编排、自动化和响应 (SOAR)。这些工具自动执行漏洞和日志扫描，以及其他安全操作任务，无需人工操作。此外，SOAR 工具使您可以轻松地将所有安全系统连接和集成到一个有凝聚力的整体中。它们还使根据现有政策实施全面的事件管理响应变得容易。他们的其他功能包括可以帮助管理层改善组织安全状况的指标和报告。
• 还有执行资产发现和漏洞评估所需的工具。SOC 人员需要对您的基础架构中当前存在的系统和工具进行盘点。然后，他们可以按照重要性对这些系统进行优先排序。例如，您可能希望密切关注关键任务系统，并确保在发生攻击时首先处理这些系统。在对您的系统进行清点后，SOC 分析师便可以开始识别您的 IT 基础架构中的任何现有漏洞。评估应针对 Web 应用程序、操作系统和数据库等。评估会建议您可以采取的适当补救措施。

SOC和NOC的区别

SOC 负责每周 7 天、每天 24 小时监控、检测和评估组织的安全健康状况，而 NOC（网络运营中心）则负责确保网络性能和速度，并最大限度地减少停机时间。

SOC 工程师和分析师寻找网络威胁和攻击企图，并在公司的数据或系统受到损害之前迅速做出响应。NOC 的工作人员会查找可能会降低网络速度或导致停机的任何问题。两者都主动实时监控，目的是在问题损害消费者或员工之前预防问题，并在未来寻找改进方法，以免出现类似问题。

为了应对重大事件和应对危机情况，SOC 和 NOC 应该进行沟通，在某些情况下，SOC 的运营将置于 NOC 内。如果工作人员经过适当培训并搜索某些危险，NOC 可以识别并响应某些安全问题，尤其是与网络性能相关的问题。如果不投资于多种工具和技能集，传统的 SOC 将无法识别和应对网络性能问题。