出版日期:2024 年 3 月 15 日
撰稿人:Mark Scapicchio、Amanda Downie、Matthew Finio
安全运营中心 (SOC) 统一和协调所有网络安全技术和运营,从而提高组织的威胁检测、响应和预防能力。
SOC(通常发音为“sock”,有时称为信息安全运营中心或 ISOC)是内部或外包的 IT 安全专业人员团队,致力于 24x7 全天候监控组织的整个 IT 基础设施。其任务是实时检测、分析和响应安全事件。这种网络安全功能的编排使 SOC 团队能够对组织的网络、系统和应用程序保持警惕,并确保针对网络威胁采取主动防御态势。
SOC 还选择、运营和维护该组织的网络安全技术,并持续分析威胁数据,以找到改善组织安全态势的方法。
如果不在本地,SOC 通常是外包托管安全服务 (MSS) 的一部分,由托管安全服务提供商 (MSSP) 提供。运营或外包 SOC 的主要好处是,它可以统一和协调组织的安全系统,包括其安全工具、做法和对安全事件的响应。这通常会改进预防措施和安全策略,加快检测威胁并对安全威胁做出更快速、更有效和更具成本效益的响应。SOC 还可以提高客户信心,并简化和加强组织对行业、国家和全球隐私法规的合规性。
了解最新的《数据泄露成本报告》,获取洞察分析,以便更好地管理数据泄露风险。
注册获取 X-Force® Threat Intelligence 指数
SOC 的活动和职责分为三大类。
资产库存。 SOC 需要维护一份详尽的清单,其中涉及数据中心内外需要加以保护的一切内容(如应用、数据库、服务器、云服务、终端等),以及为这些内容提供保护的所有工具(防火墙、防病毒/防恶意软件/防勒索软件工具、监控软件等)。 许多 SOC 都采用资产发现解决方案来处理此项任务。
例行维护和准备。 为了最大限度提高现有安全工具和措施的有效性,SOC 会执行预防性维护,如应用软件补丁和升级,并不断更新防火墙、白名单和黑名单以及安全策略和程序。 SOC 还会创建系统备份,或协助创建备份策略或程序,以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。
事件响应规划。 SOC 负责制定组织的事件响应计划,该 SOC 计划定义了发生威胁或事件时的活动、角色、责任,以及衡量任何事件响应成功与否的指标。
定期测试。 SOC 团队将执行全面的漏洞评估,确定每项资源存在的潜在威胁漏洞及关联成本。 它还将执行渗透测试,在另一系统上模拟特定攻击。 SOC 团队会根据这些测试的结果对应用、安全策略、最佳实践和事件响应计划进行修补或调优。
随时了解最新情况。 SOC 可随时了解最新的安全解决方案和技术,以及最新的威胁情报,比如从社交媒体、行业资源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。
持续的全天候安全监控:SOC 全天候监控整个扩展的 IT 基础架构,包括应用程序、服务器、系统软件、计算设备、云工作负载、网络,以查看是否存在已知漏洞的迹象和任何可疑活动。
对于许多 SOC 而言,核心监控、检测和响应技术一直是安全信息和事件管理 (SIEM)。SIEM 实时监控和汇总来自网络上软件和硬件的警报和遥测,然后分析数据以识别潜在威胁。最近一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术可提供更详细的遥测和监控,并实现事件检测和响应的自动化。
日志管理:日志管理 - 收集和分析每个网络事件产生的日志数据 - 是监控的一个重要子集。虽然大多数 IT 部门都会收集日志数据,但通过分析可以确定正常或基线活动,并揭示表明可疑活动的异常。事实上许多黑客寄望于公司并不总是分析日志数据,这可能会让他们的病毒和恶意软件在受害者的系统上运行数周甚至数月而不被发现。大多数 SIEM 解决方案都包含日志管理功能。
威胁检测:SOC 团队从噪音中筛选出信号 - 从误报中筛选出实际网络威胁和黑客使用的迹象 - 然后按严重程度对威胁进行分级。现代 SIEM 解决方案包括人工智能 (AI),它可以自动执行这些流程,并从数据中“学习”,随着时间的推移更好地发现可疑活动。
事件响应:在应对威胁或实际事件时,SOC 会采取行动限制损失。行动可包括:
- 根本原因调查,以确定导致黑客进入系统的技术漏洞,以及导致事件发生的其他因素(如密码缺陷或政策执行不力)。
- 关闭被入侵的端点或断开它们与网络的连接。
- 隔离受感染的网络区域或重新路由网络流量。
- 暂停或停止受影响的应用程序或进程。
- 删除损坏或受感染的文件。
- 运行防病毒或反恶意软件软件。
- 停止使用内部和外部用户的密码。
许多 XDR 解决方案使 SOC 能够自动化和加速这些事件响应和其他事件响应。
恢复和补救:一旦事件得到遏制,SOC 就会消除威胁,然后努力将受影响的资产恢复到事件发生之前的状态,例如擦除、恢复和重新连接磁盘、用户设备和其他端点;恢复网络流量;重新启动应用程序和流程。如果发生数据泄露或勒索软件攻击,恢复可能还涉及切换到备份系统,并重置密码和身份验证凭据。
事后总结和完善:为防止事件再次发生,SOC 利用利用从事件中获得的任何新情报来更好地处理漏洞、更新流程和政策、选择新的网络安全工具或修改事件响应计划。在更高层次上,SOC 团队可能还会试图确定该事件是否揭示了团队需要做好准备的新的或不断变化的网络安全趋势。
合规管理:SOC 的工作是确保所有应用程序、系统、安全工具和流程都符合数据隐私法规,例如 GDPR(全球数据保护条例)、CCPA(加州消费者隐私法案)、PCI DSS(支付卡行业数据安全标准)和 HIPAA(健康保险流通和责任法案)。事件发生后,SOC 确保按照法规通知用户、监管机构、执法部门和其他各方,并保留所需的事件数据以供取证和审计。
SOC 为组织提供了许多好处,包括:
资产保护:SOC 的主动监控和快速响应能力有助于防止未经授权的访问,并将数据泄露的风险降至最低。这将保护关键系统、敏感数据和知识产权免受安全漏洞和盗窃的危害。
业务连续性:通过减少安全事件并将其影响降至最低,SOC 可确保业务运营不中断。这有助于保持生产率、收入流和客户满意度。
监管合规性:SOC 通过实施有效的安全措施并维护事件和响应的详细记录,帮助组织满足网络安全的监管要求和行业标准。
节省成本:通过 SOC 投资于主动安全措施可以防止代价高昂的数据泄露和网络攻击,从而节省大量成本。前期投资通常远低于安全事件造成的财务损失和声誉风险,而且如果外包,则可以取代内部配备安全专业人员的需要。
客户信任:通过运营 SOC 展示对网络安全的承诺,可增强客户和利益相关者之间的信任和信心。
增强的事件响应:SOC 的快速响应能力通过遏制威胁并快速恢复正常运营,可最大限度减少中断,进而减少停机时间和财务损失。
改进风险管理:通过分析安全事件和趋势,SOC 团队可以识别组织的潜在漏洞。然后,他们就可以采取积极措施,在这些问题被利用之前加以缓解。
主动威胁检测:通过持续监控网络和系统,SoC 可以更快地识别和缓解安全威胁。这最大限度地减少了潜在的损害和数据泄露,并帮助组织在不断变化的威胁格局中保持领先地位。
一般来说,SOC 团队的主要角色包括:
• SOC 经理,负责管理 SOC 团队,监督所有安全操作,并向组织的 CISO(首席信息安全官)报告。
• SOC 安全工程师,负责构建和管理组织的安全架构。 其中大部分工作涉及评估、测试、推荐、实施和维护安全工具和技术。 SOC 安全工程师还会与开发或 DevOps/DevSecOps 团队合作,确保组织的安全架构包含在应用开发周期中。
• SOC 安全分析师,也称为 SOC 安全调查员或 SOC 事件响应者,他们实际上是网络安全威胁或事件的第一响应者。 SOC 分析师负责检测、调查和分类(划分优先级)威胁;然后确定受影响的主机、终端和用户,并采取适当的措施来减轻影响,遏制威胁或事件继续蔓延。 (在某些组织中,SOC 调查员和 SOC 事件响应者分别归类为第 1 层和第 2 层分析师。)
• SOC 威胁猎手(也称为 SOC 安全分析专家),专门检测和遏制高级威胁,即设法绕过自动防御的新型威胁或威胁变种。
SOC 团队可能包括其他 SOC 专家,具体取决于组织的规模或其开展业务的行业。 较大的公司可能会安排一名事件响应总监,负责沟通和协调事件响应。 某些 SOC 还包括取证调查员,他们专门从网络安全事件中的受损设备或被攻击设备中检索数据,找出线索。
什么是 DevOps?
什么是 DevSecOps?
从世界各地的安全团队所经历的挑战和成功中学习。
从 550 多家遭遇数据泄露的组织中汲取经验。
通过全天候预防和更快的人工智能驱动的检测和响应,抵御网络威胁。
IBM Security X-Force Cyber Ranges 对您的团队进行测试,并向您展示如何为组织最糟糕的一天做好准备。
了解这些内部 IT 安全团队如何抵御网络攻击者并加强安全态势。
阅读对全球 1000 多名 SOC 团队成员进行的有关速度、响应时间、检测和自动化的调查结果。