随着网络安全威胁形势的不断演变,安全运营中心 (SOC) 团队在新年伊始花时间审查他们的战略和关键保护措施。SOC 团队明白,有效的安全性永远不会是一劳永逸的项目。现有的工具和服务需要不断监控和更新,以确保它们能够抵御当前和新出现的威胁。为实现这一目标,SOC 团队需要的不仅仅是技术解决方案。他们还需要一个合作伙伴来帮助他们从该技术中获得尽可能多的价值。当涉及到不断发展的安全分析世界时,这一点尤为重要。由于这是一个“何时”而非“是否”组织会成为攻击受害者的情况,因此 SOC 团队必须有能力梳理大量机器数据并发现潜在入侵者活动的迹象,这一点至关重要。然而,部署和管理这些分析工具是一项复杂的任务,可能需要团队中不具备的技能和知识。这就是为什么利用受信任的第三方可以有效释放工具所能提供的全部好处的原因。同样重要的是要记住,在保护组织的 IT 基础设施方面,没有任何 SOC 团队有无限的时间或预算。资源需要集中在它们将产生最大可能影响的地方,并根据需要从外部采购。
多阶段策略
许多组织发现提高其 IT 安全级别的最佳方法是采用多阶段策略。这从部署初始措施开始,然后在更长的时间内用其他工具进行扩充。在许多情况下,可靠的起点是部署端点检测和响应 (EDR) 平台。EDR 工具不断扫描连接到组织基础设施的所有端点,并在检测到任何异常活动时提醒 SOC 团队。全面安全策略的第二步是引入网络检测和响应 (NDR) 功能。NDR 工具监控网络活动,并可以标记潜在的恶意活动,以便 SOC 团队进行更仔细的检查。越来越多的组织正在采取的第三步是部署所谓的扩展检测和响应 (XDR) 工具。这些工具通过收集和关联来自 IT 基础架构中一系列组件的数据来发挥作用。这使组织能够进行更高级别的网络安全监督,并使 SOC 团队能够更快地识别可能发生的任何威胁。
提高用户意识
任何有效安全策略的另一个关键组成部分是提高用户意识。网络犯罪分子使用的一个流行载体仍然是网络钓鱼攻击,确保员工了解这些攻击是如何发生的以及他们在避免这些攻击中的作用至关重要。安全团队应定期举办用户意识会议,在会议期间解释这些攻击的机制并明确它们对组织构成的风险。用户需要明白,他们只需点击一个网络链接或打开包含恶意代码的电子邮件附件,就可以让网络犯罪分子进入组织的基础设施。在这个广泛远程和混合工作的新时代,提高用户对 IT 安全问题的认识尤为重要。许多员工现在将在传统的公司局域网之外工作,因此需要意识到需要格外警惕。通过在评估其整体 IT 安全策略时考虑这些不同的因素,SOC 团队将能够更好地进行未来几个月所需的调整。安全威胁将继续发展,这使得不断审查成为任何有效战略的重要组成部分。
什么是安全运营中心 (SOC)
安全运营中心 (SOC) 有时也称为信息安全运营中心 (ISOC),是 IT 安全专业人员的内部或外包团队,可 24/7 式全天候监控组织的整个 IT 基础架构,以实时检测网络安全事件,并尽可能快速而有效地解决问题。SOC 还负责筛选、运营和维护组织的网络安全技术,并持续分析威胁数据,以找到方法来改善组织的安全态势。运营或外包 SOC 的主要优势在于它可统一并协调组织的安全工具、实践以及对安全事件的响应。这通常能够改进预防措施和安全策略、更快地检测威胁以及对安全威胁作出更快、更有效且更具成本效益的响应。SOC 还可以提高客户信心,简化并加强组织针对行业、国家和全球隐私法规的合规性。
安全运营中心 (SOC) 的职责
SOC 的活动和职责分为三大类。准备、规划和预防资产库存。SOC 需要维护一份详尽的清单,其中涉及数据中心内外需要加以保护的一切内容(如应用、数据库、服务器、云服务、终端等),以及为这些内容提供保护的所有工具(防火墙、防病毒/防恶意软件/防勒索软件工具、监控软件等)。许多 SOC 都采用资产发现解决方案来处理此项任务。例行维护和准备。为了最大限度提高现有安全工具和措施的有效性,SOC 会执行预防性维护,如应用软件补丁和升级,并不断更新防火墙、白名单和黑名单以及安全策略和程序。SOC 还会创建系统备份,或协助创建备份策略或程序,以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。事件响应规划。SOC 负责制定组织的事件响应计划,该计划定义了发生威胁或事件时的活动、角色、责任,以及衡量任何事件响应成功与否的指标。定期测试。SOC 团队将执行全面的漏洞评估,确定每项资源存在的潜在威胁漏洞及关联成本。它还将执行渗透测试,在另一系统上模拟特定攻击。团队会根据这些测试的结果对应用、安全策略、最佳实践和事件响应计划进行修补或调优。随时了解最新情况。SOC 可随时了解最新的安全解决方案和技术,以及最新的威胁情报,比如从社交媒体、行业资源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。
监控、检测和响应
持续、全天候的安全监控。SOC 以 24/7/365 方式全天候监控整个扩展 IT 基础架构,包括应用、服务器、系统软件、计算设备、云工作负载和网络,找出已知漏洞的迹象和任何可疑活动。对于许多 SOC 而言,核心监控、检测和响应技术已属 安全信息和事件管理 (SIEM) 的范畴。SIEM 会实时监控和汇集来自网络上软件和硬件的警报和遥测数据,然后分析数据以识别潜在威胁。最近,一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术提供了更详细的遥测和监控数据,且能够自动执行事件检测和响应。日志管理。日志管理用于收集和分析每个网络事件所生成的日志数据,也属于监控的一部分,其重要性不言而喻。虽然大多数 IT 部门都会收集日志数据,但往往通过分析才能建立常规或基线活动,并找出表明存在可疑活动的异常。事实上,许多黑客得逞的原因便是公司不一定会分析日志数据,这让他们的病毒和恶意软件能够在受害者系统中运行数周乃至数月而不被察觉。大多数 SIEM 解决方案都包含日志管理功能。威胁检测。SOC 团队通过噪音对信号进行分类,从误报中找出真正的网络威胁和黑客攻击,然后再按严重程度对威胁进行分类。现代 SIEM 解决方案包含了人工智能 (AI),它能让这些流程自动从数据中进行“学习”,从而随时间推移更好地发现可疑活动。事件响应。为应对威胁或实际事件,SOC 采取各种措施来减少损害。这些措施可能包括:• 根本原因调查,以确定造成黑客能够访问系统的技术漏洞,以及导致该事件的其他因素(如密码卫生不良或策略执行不力)• 关闭受感染的终端或断开其网络连接• 隔离网络的受损区域或重新路由网络流量• 暂停或停止受感染的应用或进程• 删除损坏或受感染的文件• 运行防病毒或反恶意软件• 针对内部和外部用户停用密码。许多 XDR 解决方案使 SOC 能够自动执行并加速这些措施和其他事件响应措施。
恢复、优化和合规性
恢复和补救。一旦事件得到控制,SOC 就会消除威胁,然后将受影响资产恢复到事件发生前的状态(例如擦除、恢复和重新连接磁盘、最终用户设备和其他终端;恢复网络流量;重新启动应用和进程)。如果发生数据泄露或勒索软件攻击,恢复过程还可能涉及切换到备份系统,以及重置密码和身份验证凭证。事后分析和优化。为防止事件再次发生,SOC 会利用从事件中获得的任何新情报来更好地解决漏洞、更新流程和策略、选择新的网络安全工具或修改事件响应计划。在更高层面上,SOC 团队还可能试图确定此事件是否意味着出现了新的或变化的网络安全趋势,需要团队做好应对准备。合规性管理。SOC 的职责是确保所有应用、系统和安全工具与流程符合数据隐私法规,如 GDPR(全球数据保护条例)、CCPA(加州消费者隐私法案)、PCI DSS(支付卡行业数据安全标准),以及 HIPAA(健康保险可移植性与责任法案)。事件发生后,SOC 将确保依照法规通知用户、监管机构、执法部门和其他各方,并保留所需的事件数据以供取证和审计。
安全运营中心 (SOC) 团队主要成员
一般来说,SOC 团队的主要角色包括:• SOC 经理,负责管理团队,监督所有安全操作,并向组织的 CISO(首席信息安全官)报告。• 安全工程师,负责构建和管理组织的安全架构。其中大部分工作涉及评估、测试、推荐、实施和维护安全工具和技术。安全工程师还会与开发或 DevOps/DevSecOps 团队合作,确保组织的安全架构包含在应用开发周期中。• 安全分析师,也称为安全调查员或事件响应者,他们实际上是网络安全威胁或事件的第一响应者。分析师负责检测、调查和分类(划分优先级)威胁;然后确定受影响的主机、终端和用户,并采取适当的措施来减轻影响,遏制威胁或事件继续蔓延。(在某些组织中,调查员和事件响应者分别归类为第 1 层和第 2 层分析师。)• 威胁猎手(也称为安全分析专家),专门检测和遏制高级威胁,即设法绕过自动防御的新型威胁或威胁变种。SOC 团队可能包括其他专家,具体取决于组织的规模或其开展业务的行业。较大的公司可能会安排一名事件响应总监,负责沟通和协调事件响应。某些 SOC 还包括取证调查员,他们专门从网络安全事件中的受损设备或被攻击设备中检索数据,找出线索。
安全运营中心 (SOC) 和 IBM
IBM Security QRadar XDR 是 IT 安全行业中首个综合性 XDR 解决方案,采用开放标准和自动化流程,将终端检测和响应 (EDR)、网络检测和响应 (NDR) 以及 SIEM 功能统一到一个工作流程中。借助 QRadar XDR,SOC 可以通过连接洞察、简化工作流程和利用 AI 自动响应,节省宝贵的时间,更快地消除威胁。IBM Security QRadar XDR 解决方案套件包括:• QRadar XDR Connect,它集成了安全工具、简化了工作流程、根据安全团队的技能和需求进行了调整,并实现了 SOC 自动化。• QRadar SIEM,具有智能安全分析功能,可自动分析来自网络上数千台设备、终端和应用的日志与流数据,提供对最严重威胁的可行洞察。• QRadar Network Insights,提供实时网络流量分析,让 SOC 团队获得了所需的深度可见性,从而能尽早检测出隐藏威胁。• QRadar SOAR(安全统筹与自动化响应),将事件响应流程编入动态手册,帮助安全团队自信地响应、实现智能自动化,并始终如一地开展协作。