Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
安全运营中心 (SOC) 统一和协调所有网络安全技术和运营,从而提高组织的威胁检测、响应和预防能力。
SOC(通常发音为“sock”,有时称为信息安全运营中心或 ISOC)是内部或外包的 IT 安全专业人员团队,致力于 24x7 全天候监控组织的整个 IT 基础设施。其任务是实时检测、分析和响应安全事件。这种网络安全功能的编排使 SOC 团队能够对组织的网络、系统和应用程序保持警惕,并确保针对网络威胁采取主动防御态势。
SOC 还选择、运营和维护该组织的网络安全技术,并持续分析威胁数据,以找到改善组织安全态势的方法。
如果不在本地,SOC 通常是外包托管安全服务 (MSS) 的一部分,由托管安全服务提供商 (MSSP) 提供。运营或外包 SOC 的主要好处是,它可以统一和协调组织的安全系统,包括其安全工具、做法和对安全事件的响应。这通常会改进预防措施和安全策略,加快检测威胁并对安全威胁做出更快速、更有效和更具成本效益的响应。SOC 还可以提高客户信心,并简化和加强组织对行业、国家和全球隐私法规的合规性。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
SOC 的活动和职责分为三大类。
资产清单:SOC 需要维护一份详尽的清单,其中包含数据中心内部或外部需要保护的所有内容(例如应用程序、数据库、服务器、云服务、端点等)以及用于保护它们的所有工具(防火墙、防病毒/反恶意软件/反勒索软件工具、监控软件等)。许多 SOC 将使用资产发现解决方案来完成这项任务。
日常维护和准备:为了最大限度地提高现有安全工具和措施的有效性,SOC 会执行预防性维护,例如应用软件补丁和升级、不断更新防火墙、许可名单和阻止名单以及安全策略和程序。SOC 还可以创建系统备份或协助创建备份策略或程序,以在发生数据泄露、勒索软件攻击或其他网络安全事件时确保业务连续性。
事件响应计划:SOC 负责制定组织的事件响应计划,该计划定义了在发生威胁或事件时的活动、角色和职责,以及衡量任何事件响应成功与否的指标。
定期测试:SOC 团队执行脆弱性评估 - 全面评估,确定每个资源在潜在或新出现的威胁面前的脆弱性以及相关成本。它还会进行渗透测试,模拟对一个或多个系统的特定攻击。团队根据这些测试的结果修复或微调应用程序、安全策略、最佳实践和事件响应计划。
保持最新状态:SOC 始终了解最新的安全解决方案和技术以及最新的威胁情报,即从社交媒体、行业来源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。
持续的全天候安全监控:SOC 全天候监控整个扩展的 IT 基础架构,包括应用程序、服务器、系统软件、计算设备、云工作负载、网络,以查看是否存在已知漏洞的迹象和任何可疑活动。
对于许多 SOC 而言,核心监控、检测和响应技术一直是安全信息和事件管理 (SIEM)。SIEM 实时监控和汇总来自网络上软件和硬件的警报和遥测,然后分析数据以识别潜在威胁。最近一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术可提供更详细的遥测和监控,并实现事件检测和响应的自动化。
日志管理:日志管理 - 收集和分析每个网络事件产生的日志数据 - 是监控的一个重要子集。虽然大多数 IT 部门都会收集日志数据,但通过分析可以确定正常或基线活动,并揭示表明可疑活动的异常。事实上许多黑客寄望于公司并不总是分析日志数据,这可能会让他们的病毒和恶意软件在受害者的系统上运行数周甚至数月而不被发现。大多数 SIEM 解决方案都包含日志管理功能。
威胁检测:SOC 团队从噪音中筛选出信号 - 从误报中筛选出实际网络威胁和黑客使用的迹象 - 然后按严重程度对威胁进行分级。现代 SIEM 解决方案包括人工智能 (AI),它可以自动执行这些流程,并从数据中“学习”,随着时间的推移更好地发现可疑活动。
事件响应:在应对威胁或实际事件时,SOC 会采取行动限制损失。行动可包括:
许多 XDR 解决方案使 SOC 能够自动化和加速这些事件响应和其他事件响应。
恢复和补救:一旦事件得到遏制,SOC 就会消除威胁,然后努力将受影响的资产恢复到事件发生之前的状态,例如擦除、恢复和重新连接磁盘、用户设备和其他端点;恢复网络流量;重新启动应用程序和流程。如果发生数据泄露或勒索软件攻击,恢复可能还涉及切换到备份系统,并重置密码和身份验证凭据。
事后总结和完善:为防止事件再次发生,SOC 利用利用从事件中获得的任何新情报来更好地处理漏洞、更新流程和政策、选择新的网络安全工具或修改事件响应计划。在更高层次上,SOC 团队可能还会试图确定该事件是否揭示了团队需要做好准备的新的或不断变化的网络安全趋势。
合规管理:SOC 的工作是确保所有应用程序、系统、安全工具和流程都符合数据隐私法规,例如 GDPR(全球数据保护条例)、CCPA(加州消费者隐私法案)、PCI DSS(支付卡行业数据安全标准)和 HIPAA(健康保险流通和责任法案)。事件发生后,SOC 确保按照法规通知用户、监管机构、执法部门和其他各方,并保留所需的事件数据以供取证和审计。
SOC 为组织提供了许多好处,包括:
资产保护:SOC 的主动监控和快速响应能力有助于防止未经授权的访问,并将数据泄露的风险降至最低。这将保护关键系统、敏感数据和知识产权免受安全漏洞和盗窃的危害。
业务连续性:通过减少安全事件并将其影响降至最低,SOC 可确保业务运营不中断。这有助于保持生产率、收入流和客户满意度。
监管合规性:SOC 通过实施有效的安全措施并维护事件和响应的详细记录,帮助组织满足网络安全的监管要求和行业标准。
节省成本:通过 SOC 投资于主动安全措施可以防止代价高昂的数据泄露和网络攻击,从而节省大量成本。前期投资通常远低于安全事件造成的财务损失和声誉风险,而且如果外包,则可以取代内部配备安全专业人员的需要。
客户信任:通过运营 SOC 展示对网络安全的承诺,可增强客户和利益相关者之间的信任和信心。
增强的事件响应:SOC 的快速响应能力通过遏制威胁并快速恢复正常运营,可最大限度减少中断,进而减少停机时间和财务损失。
改进风险管理:通过分析安全事件和趋势,SOC 团队可以识别组织的潜在漏洞。然后,他们就可以采取积极措施,在这些问题被利用之前加以缓解。
主动威胁检测:通过持续监控网络和系统,SoC 可以更快地识别和缓解安全威胁。这最大限度地减少了潜在的损害和数据泄露,并帮助组织在不断变化的威胁格局中保持领先地位。
一般来说,SOC 团队的主要角色包括:
SOC 经理:SOC 经理管理团队,监督所有安全运营,并向组织的 CISO(首席信息安全官)报告。
安全工程师:这些人员负责构建和管理组织的安全架构。其中大部分工作涉及评估、测试、推荐、实施和维护安全工具和技术。安全工程师还与开发或 DevOps 开发运维/DevSecOps 团队合作,确保将组织的安全架构纳入应用程序开发周期。
安全分析师:安全分析师也被称为安全调查员或事件响应者,他们基本上是网络安全威胁或事件的第一响应者。分析师检测、调查和分类(按优先级排序)威胁;然后确定受影响的主机、端点和用户。然后他们采取适当的行动来减轻和遏制影响或者威胁或事件。(在某些组织中,调查员和事件响应者是不同的角色,分别归类为第 1 级分析师和第 2 级分析师。)
威胁猎人:威胁猎人也称为专家安全分析师或 SOC 分析师,他们专注于检测和遏制高级威胁,即从事寻找设法绕过自动化防御的新威胁或威胁变体的威胁搜寻工作。
根据组织规模或行业类型,SOC 团队可能包括其他专家。较大的公司可能包括事件响应总监,负责沟通和协调事件响应。一些 SOC 包括取证调查人员,他们专门从网络安全事件中受损或被入侵的设备中检索数据(线索)。