安全运营中心 (SOC)

安全运营中心通过统一和协调所有网络安全技术和运营来提高组织的威胁检测、响应和预防能力。

安全运营中心室

什么是安全运营中心 (SOC)

安全运营中心 (SOC) 有时也称为信息安全运营中心或 ISOC,是 IT 安全专业人员的内部或外包团队,可 24/7 式全天候监控组织的整个 IT 基础架构,以实时检测网络安全事件并尽可能快速有效地解决问题。

SOC 还负责筛选、运营和维护组织的网络安全技术,并持续分析威胁数据,以找到方法来改善组织的安全态势。

运营或外包 SOC 的主要优势在于它可统一并协调组织的安全工具、实践以及对安全事件的响应。 这通常能够改进预防措施和安全策略、更快地检测威胁以及对安全威胁作出更快、更有效且更具成本效益的响应。 SOC 还可以提高客户信心,简化并加强组织对行业、国家和全球隐私法规的合规性。


什么是安全运营中心 (SOC)?

SOC 活动和职责分为三大类。

准备、计划和预防

资产清单。 SOC 需要维护一份详尽的清单,其中涉及数据中心内外需要加以保护的一切内容(如应用程序、数据库、服务器、云服务、端点等)以及对此类内容提供保护的所有工具(防火墙、防病毒/反恶意软件/反勒索软件工具、监控软件等)。 许多 SOC 采用资产发现解决方案来处理此项任务。

日常维护和准备。 为了最大限度提高现有安全工具和措施的有效性,SOC 会执行预防性维护,如应用软件补丁和升级,并不断更新防火墙、白名单和黑名单以及安全策略和程序。 SOC 还会创建系统备份,或协助创建备份策略或程序,以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。

事件响应计划。 SOC 负责制定组织的事件响应计划,该计划定义了发生威胁或事件时的活动、角色、责任,以及衡量任何事件响应成功与否的指标。

定期测试。 SOC 团队将执行全面的漏洞评估,确定每项资源存在的潜在威胁漏洞及关联成本。 它还将执行渗透测试,在另一系统上模拟特定攻击。 团队会根据这些测试的结果对应用程序、安全策略、最佳实践和事件响应计划进行修补或调优。

随时了解最新情况。 SOC 可随时了解最新的安全解决方案和技术,以及最新的威胁情报,比如从社交媒体、行业资源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。

监控、检测和响应

持续、全天候的安全监控。 SOC 以全年无休且全天候方式监控整个扩展 IT 基础架构,包括应用程序、服务器、系统软件、计算设备、云工作负载和网络,找出已知漏洞的迹象和任何可疑活动。

对于许多 SOC 而言,核心监控、检测和响应技术已属 安全信息和事件管理(或 SIEM) 的范畴。 SIEM 会实时监控和汇集来自网络上软件和硬件的警报和遥测数据,然后分析数据以识别潜在威胁。 最近,一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术提供了更详细的遥测和监控数据,且能够自动执行事件检测和响应。

日志管理。 日志管理用于收集和分析每个网络事件所生成的日志数据,也属于监控的一部分,其重要性不言而喻。 虽然大多数 IT 部门都会收集日志数据,但往往通过分析才能建立常规或基线活动,并找出表明存在可疑活动的异常。 事实上,许多黑客得逞的原因便是公司并不会分析所有的日志数据,这能让他们的病毒和恶意软件在受害者系统中运行数周甚至数月而不被发现。 大多数 SIEM 解决方案都包含日志管理功能。

威胁检测。 SOC 团队通过噪音对信号进行分类,从误报中找出真正的网络威胁和黑客攻击,然后再按严重程度对威胁进行分类。 现代 SIEM 解决方案包含了人工智能 (AI),它能让这些流程自动从数据中进行“学习”,从而随时间推移更好地发现可疑活动。

事件响应。 为应对威胁或实际事件,SOC 会采取各种措施来减少损害。 这些措施可能包括:

• 根本原因调查,以确定造成黑客能够访问系统的技术漏洞,以及导致该事件的其他因素(如密码卫生不良或策略执行不力)

• 关闭受感染的端点或断开其网络连接

• 隔离网络的受损区域或重新路由网络流量

• 暂停或停止受感染的应用程序或进程

• 删除损坏或受感染的文件

• 运行防病毒或反恶意软件

• 针对内部和外部用户停用密码。

许多 XDR 解决方案使 SOC 能够自动执行并加速这些措施和其他事件响应措施。

恢复、改进和合规性

恢复和补救。 一旦事件得到控制,SOC 就会消除威胁,然后将受影响资产恢复到事件发生前的状态(例如擦除、恢复和重新连接磁盘、最终用户设备和其他端点;恢复网络流量;重新启动应用程序和进程)。 如果发生数据泄露或勒索软件攻击,恢复过程还可能涉及切换到备份系统,以及重置密码和身份验证凭据。

事后分析和改进。 为防止事件再次发生,SOC 会利用从事件中获得的任何新情报来更好地解决漏洞、更新流程和策略、选择新的网络安全工具或修改事件响应计划。 在更高层面上,SOC 团队还可能试图确定此事件是否意味着出现了新的或变化的网络安全趋势,需要团队做好应对准备。

合规管理。 SOC 的职责是确保所有应用程序、系统和安全工具和流程符合数据隐私法规,如 GDPR(全球数据保护条例)、CCPA(加州消费者隐私法案)、PCI DSS(支付卡行业数据安全标准),以及 HIPAA(健康保险可移植性与责任法案)。 事故发生后,SOC 将确保依照法规通知用户、监管机构、执法部门和其他各方,并保留所需的事件数据以供取证和审计。


安全运营中心 (SOC) 团队主要成员

一般来说,SOC 团队的主要角色包括:

• SOC 经理,负责管理团队,监督所有安全操作,并向组织的 CISO(首席信息安全官)报告。

• 安全工程师,负责构建和管理组织的安全架构。 其中大部分工作涉及评估、测试、推荐、实施和维护安全工具和技术。 安全工程师还会与开发或 DevOps/DevSecOps 团队合作,确保组织的安全架构包含在应用程序开发周期中。

• 安全分析师,也称为安全调查员或事件响应者,他们实际上是网络安全威胁或事件的第一响应者。 分析师负责检测、调查和分类(优先级)威胁;然后确定受影响的主机、端点和用户,并采取适当的措施来减轻影响,或遏制威胁或事件继续蔓延。 (在某些组织中,调查员和事件响应者分别归类为第 1 层和第 2 层分析师。)

• 威胁猎手(也称为安全分析专家),专门检测和遏制高级威胁,即设法绕过自动防御的新型威胁或威胁变种。

SOC 团队可能包括其他专家,具体取决于组织的规模或其开展业务的行业。 较大的公司可能会安排一名事件响应总监,负责沟通和协调事件响应。 某些 SOC 还包括法医调查员,他们专门从网络安全事件中的受损设备中检索数据,找出线索。


安全运营中心 (SOC) 和 IBM

IBM Security QRadar XDR 是 IT 安全行业的首个综合 XDR 解决方案,采用开放标准和自动化流程,将端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及 SIEM 功能统一到单一工作流程中。 借助 QRadar XDR,SOC 可以通过连接洞察、简化工作流程和利用 AI 自动响应,节省宝贵的时间,更快地消除威胁。

IBM Security QRadar XDR 解决方案套件包括:

• QRadar XDR Connect,它集成了安全工具、简化了工作流程、根据安全团队的技能和需求进行了调整,并实现了 SOC 的流程自动化。

• QRadar SIEM,具有智能安全分析功能,可自动分析来自网络上数千台设备、端点和应用程序的日志和流数据,提供对最严重威胁的可行洞察。

• QRadar Network Insights,提供实时网络流量分析,让 SOC 团队获得了所需的深度可见性,从而能尽早检测出隐藏威胁。

• QRadar SOAR(安全编排、自动化和响应),将事件响应流程编入动态手册,帮助安全团队自信地响应、实现智能自动化并始终如一地开展协作。