什么是安全运营中心？

安全运营中心（SOC）是一个由专家组成的团队，致力于高质量的IT安全运营。

SOC旨在预防网络安全威胁，检测并响应其所监管的计算机、服务器和网络上的任何事件。SOC具有独特的能力，可以持续监控所有系统，因为员工轮班工作，全天候轮换并记录活动。

与传统IT部门不同，SOC的员工包括经验丰富的网络安全分析师和训练有素的工程师。这些人使用各种计算机程序和专门的安全流程来指出公司虚拟基础设施中的弱点，并防止这些漏洞导致盗窃。

SOC采用的技术包括防火墙、探针、安全信息、事件管理系统等一系列工具，并监控数据在各种平台上的移动。

SOC团队通过分析活跃的 feeds、建立规则、识别例外、增强响应以及他们已建立的防御中的漏洞来领先于潜在威胁。由于需要执行各种任务，SOC根据多种因素（使用不同的技术和方法）可能看起来不同。

有些公司拥有内部SOC，而另一些公司则选择将这些服务外包。然而，它们都以防止数据泄露和最大程度地减少因在线犯罪活动造成的损失为主要目标。

SOC的职能

以下是安全运营中心执行的主要职能，例如：

1. 盘点可用资源

SOC负责两种类型的资产：各种设备、流程和应用程序，它们负责保护；以及可用的防御工具，以帮助确保这种保护。

• SOC保护什么 SOC无法保护设备和数据。如果设备到云端缺乏可见性和控制，网络安全态势中可能存在盲点，这些盲点可能被发现和利用。因此，SOC的目标是全面了解业务的威胁格局，包括本地的各种端点、服务器和软件类型，以及第三方服务和这些资产之间的数据流。
• SOC如何保护 SOC还应全面了解所有可用的网络安全工具和所有SOC工作流程。这提高了敏捷性，并使SOC能够以最高效率运行。

2. 准备和预防性维护

即使是最完善、最敏捷的响应流程也无法与从一开始就预防问题发生相提并论。为了帮助抵御攻击者，SOC会实施预防措施，这可以分为两大类：

• 准备团队成员应随时了解最新的安全创新、最新的网络犯罪趋势以及即将出现的新威胁的发展。
  这项研究有助于制定安全路线图，为公司的网络安全工作提供方向；以及灾难恢复计划，在最坏的情况下提供现成的指导。
• 预防性维护此步骤包括使成功攻击更加困难的所有措施，包括维护和更新现有系统、更新防火墙策略、修补漏洞、白名单、黑名单和保护应用程序。

3. 持续主动监控

SOC使用的工具扫描网络以标记任何异常或可疑活动。24小时监控网络使SOC能够立即收到新出现的威胁通知，从而最大限度地提高预防或减轻损害的机会。

监控工具可以包括SIEM或EDR，其中最先进的工具可以使用行为分析来“教导”系统区分日常正常操作和实际威胁行为，从而最大限度地减少人工分类和分析的工作量。

4. 警报排名和管理

当监控工具发出警报时，SOC的职责是仔细查看每个警报，丢弃任何误报，并确定任何实际威胁的攻击性以及它们可能针对的目标。

这使他们能够适当地分类新出现的威胁，优先处理最紧急的问题。

5. 威胁响应

事件已确认。SOC充当第一响应者，执行诸如关闭或隔离端点、终止有害进程或阻止其执行、删除文件等操作。

目标是在必要范围内做出响应，同时对业务连续性的影响尽可能小。

6. 恢复和补救

事件发生后，SOC将努力恢复系统并恢复任何丢失或受损的数据。

这可能包括擦除和重启端点、重新配置系统。成功后，此步骤会将网络恢复到事件发生前的状态。

7. 日志管理

SOC负责收集、维护和定期审查整个组织所有网络活动和通信的日志。这些数据有助于定义“正常”网络活动的基线，可以揭示威胁的存在，并可在事件发生后用于补救和取证。

许多SOC使用SIEM聚合和关联来自应用程序、防火墙、操作系统和端点的数据流，生成其内部日志。

8. 根本原因调查

事件发生后，SOC负责查明何时、如何以及为何发生。

在调查期间，SOC使用日志数据和其他信息追溯问题根源，这将有助于防止未来发生类似问题。

9. 安全完善与改进

网络犯罪分子不断完善他们的工具和策略，为了领先于他们，SOC需要持续实施改进。

安全路线图中概述的计划在此步骤中得以实现，但这种完善还可以包括红队和紫队等实践操作。

10. 合规管理

许多SOC的流程都遵循既定的最佳实践，但有些流程受合规性要求管辖。SOC负责定期审计其系统，以确保符合此类法规，这些法规可能由其组织、其行业或管理机构发布。

这些法规包括HIPAA、PCI DSS和GDPR。遵守这些法规不仅有助于保护公司受托的敏感数据。

它还可以保护组织免受因数据泄露而导致的声誉损害和法律挑战。

如何建立SOC

以下步骤有助于建立一个优秀的安防运营中心，例如：

步骤1：制定策略

首先评估组织现有SOC在人员、流程和技术方面的能力。坚持SOC的四个主要操作，例如监控、检测、响应和恢复。

为了有效履行职责，团队应制定一个考虑业务目标的策略。

例如，识别哪些系统和数据对于维持运营以保持业务运转至关重要，将有助于确定SOC团队的优先事项。

步骤2：设计解决方案

与其依赖功能广泛的SOC解决方案，不如将范围限制在组织自身情况，这是一种最佳实践。在设计SOC时，要警惕范围蔓延，以使其具有可扩展性，满足未来需求。专注的解决方案可以减少实施时间并快速获得结果。设计应包括：

• 功能需求，如监控的日志和事件源、利用的威胁情报源以及响应时间等性能要求。
• 您是实施专用SOC、虚拟SOC、外包SOC还是混合SOC，将是您设计的基础。
• 技术架构。规划解决方案组件的组成和配置，识别业务和信息系统，定义事件工作流以与流程保持一致，自动化所需的解决方案，并确定是否需要桌面演练。

步骤3：创建程序、流程和培训

SOC解决方案必须遵循威胁生命周期管理（TLM）框架的六个阶段：取证数据收集、潜在威胁的发现、已发现威胁的定性以评估对业务的潜在影响、调查、威胁中和以及恢复。

如果是混合或外包SOC模型，请与服务提供商协调。

步骤4：准备环境

在部署解决方案之前，检查所有必需的元素是否到位。

关键要素包括远程访问机制、远程访问的强身份验证以及SOC员工设备保护。

步骤5：实施解决方案

要执行解决方案，您必须：

• 建立日志管理系统
• 组织最少数量的关键数据源
• 设置安全分析功能
• 构建安全自动化和编排功能

完成后，检查系统与工作流的对齐情况。

步骤6：部署端到端用例

接下来，部署侧重于端到端威胁检测和响应实现的用例。它应该在分析层、安全自动化和编排层实现。

严格测试所有形式的自动化解决方案。此外，验证远程访问解决方案的可读性和安全性。

步骤7：维护和演进解决方案

该解决方案将需要持续维护和定期更新。

根据SOC在组织环境中的功能进行更新，将提高SOC解决方案的效率和威胁检测率。

SOC如何运作

• SOC团队不专注于制定安全策略、设计安全架构或实施保护措施，而是负责企业信息安全的持续运营部分。
• 安全运营中心的人员由安全分析师组成，他们协同工作以检测、分析、响应、报告和预防网络安全事件。一些SOC的其他能力可能包括高级取证分析、密码分析和恶意软件逆向工程以分析事件。
• 建立组织SOC的第一步是明确定义一项策略，该策略应结合来自不同部门的业务特定目标，并获得高管的投入和支持。
• 一旦策略制定完成，就必须实施支持该策略所需的基础设施。
• SOC基础设施包括防火墙、IPS/IDS、入侵检测解决方案、探针以及安全信息和事件管理（SIEM）系统。应部署技术，通过数据流、遥测、数据包捕获、Syslog和其他方法收集数据，以便SOC工作人员可以关联和分析数据活动。
• 安全运营中心还监控网络和端点是否存在漏洞，以保护敏感数据并遵守行业或政府法规。

SOC模型类型

我们一直专注于外部SOC处理器模型，即公司支付外部SOC提供商来管理其网络安全需求。然而，还有其他几种SOC架构模型。

1. 专用或内部SOC：企业在其内部员工中建立自己的网络安全团队。
2. 虚拟SOC：安全团队没有专门的设施，通常远程工作。
3. 全球或指挥SOC：一个高级别团队，负责监督大区域内的较小型SOC。
4. 共同管理SOC：企业内部IT与外包供应商紧密合作，共同管理网络安全需求。

SOC运营

各个SOC网络安全提供商提供不同的产品和服务套件。然而，SOC必须执行一套核心的运营功能才能为组织创造价值。我们将其称为七项能力，并在此进行概述。

1. 资产调查：为了让SOC帮助公司保持安全，他们必须全面了解需要保护哪些资源。否则，他们可能无法保护网络的全部范围。

资产调查应识别企业控制下的每个服务器、路由器、防火墙以及任何正在使用的其他网络安全工具。

2. 日志收集：数据是SOC正常运行最重要的因素，日志是关于网络活动的关键信息来源。SOC应设置来自企业系统的直接数据流，以便实时收集数据。

人类无法消化如此大量的信息，这就是为什么由人工智能算法驱动的日志扫描工具对SOC如此有价值。然而，它们确实带来了一些人类仍在努力解决的有趣副作用。

3. 预防性维护：SOC可以通过积极主动的流程来防止网络攻击发生。这包括定期安装安全补丁和调整防火墙策略。

由于一些网络攻击始于内部威胁，因此SOC还必须在组织内部寻找风险。

4. 持续监控：为了准备响应网络安全事件，SOC必须在其监控实践中保持警惕。几分钟的时间可能就是阻止攻击与让攻击击垮整个系统或网站之间的区别。

SOC工具在公司网络中运行扫描，以识别潜在威胁和其他可疑活动。

5. 警报管理：自动化系统非常擅长发现模式和遵循脚本。但SOC的人工元素在分析自动化警报并根据其严重性和优先级对其进行排名时证明了其价值。

SOC员工必须知道要采取哪些响应措施以及如何验证警报是否合法。

6. 根本原因分析：事件发生并解决后，SOC的工作才刚刚开始。网络安全专家将分析问题的根本原因，并诊断其最初发生的原因。

这有助于持续改进，通过修改安全工具和规则来防止未来发生相同的事件。

7. 合规审计：公司希望知道他们的数据和系统是安全的，并且以合法的方式进行管理。

SOC提供商必须定期进行审计，以确认他们在运营区域内的合规性。

SOC角色

SOC提供商是建立职业生涯的绝佳场所。让我们来看看运营SOC涉及的一些主要职位。

1. SOC经理

SOC经理是他们组织的领导者。这意味着最高级别的职责落在他们身上，包括招聘或解雇、预算编制和设定优先事项。他们通常直接向执行层汇报，特别是首席信息安全官（CISO）。

2. 合规审计员

合规审计员在SOC内部流程标准化中发挥着关键作用。他们本质上是质量控制部门，确保SOC成员符合要求。

3. 事件响应者

事件响应者是那些负责尽快响应警报的人。他们使用各种监控服务来对警报的严重性进行排名，一旦某个警报被认定为全面问题，他们就会与受影响的企业联系，开始恢复工作。

4. SOC分析师

SOC分析师负责审查过去的事件并确定其背后的根本原因。他们通常在网络安全专业领域拥有多年的经验。

5. 威胁猎手

这些是团队中积极主动的成员，他们在网络上运行测试以识别薄弱区域。目标是在黑客利用漏洞发起攻击之前发现漏洞。

6. 法医调查员

法医调查员负责识别根本原因、定位所有攻击源并收集支持证据。

7. 安全工程师

安全工程师开发和设计必要的系统或工具，以实现有效的入侵检测和漏洞管理能力。

安全运营中心的好处

如果实施得当，安全运营中心可以为组织带来多项好处，例如：

• 对可疑活动的持续监控和分析。
• 改进的事件响应时间与实践。
• 缩短入侵时间与平均检测时间（MTTD）之间的差距。
• 集中化的软件和硬件资产，实现更全面的安全方法。
• 有效的沟通与协作。
• 最大程度地降低与网络安全事件相关的成本。
• 让客户和员工更安心地分享敏感信息。
• 对安全运营拥有更高的透明度和控制力。
• 如果组织希望起诉网络犯罪的肇事者，需要建立数据链。