安全运营中心 (SOC) 的作用
SOC 的活动和职责分为三大类。
SOC 准备、规划和预防
资产库存。 SOC 需要维护一份详尽的清单,其中涉及数据中心内外需要加以保护的一切内容(如应用、数据库、服务器、云服务、终端等),以及为这些内容提供保护的所有工具(防火墙、防病毒/防恶意软件/防勒索软件工具、监控软件等)。 许多 SOC 都采用资产发现解决方案来处理此项任务。
例行维护和准备。 为了最大限度提高现有安全工具和措施的有效性,SOC 会执行预防性维护,如应用软件补丁和升级,并不断更新防火墙、白名单和黑名单以及安全策略和程序。 SOC 还会创建系统备份,或协助创建备份策略或程序,以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。
事件响应规划。 SOC 负责制定组织的事件响应计划,该 SOC 计划定义了发生威胁或事件时的活动、角色、责任,以及衡量任何事件响应成功与否的指标。
定期测试。 SOC 团队将执行全面的漏洞评估,确定每项资源存在的潜在威胁漏洞及关联成本。 它还将执行渗透测试,在另一系统上模拟特定攻击。 SOC 团队会根据这些测试的结果对应用、安全策略、最佳实践和事件响应计划进行修补或调优。
随时了解最新情况。 SOC 可随时了解最新的安全解决方案和技术,以及最新的威胁情报,比如从社交媒体、行业资源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。
SOC 监控、检测和响应
持续的全天候安全监控:SOC 全天候监控整个扩展的 IT 基础架构,包括应用程序、服务器、系统软件、计算设备、云工作负载、网络,以查看是否存在已知漏洞的迹象和任何可疑活动。
对于许多 SOC 而言,核心监控、检测和响应技术一直是安全信息和事件管理 (SIEM)。SIEM 实时监控和汇总来自网络上软件和硬件的警报和遥测,然后分析数据以识别潜在威胁。最近一些 SOC 还采用了扩展检测和响应 (XDR) 技术,该技术可提供更详细的遥测和监控,并实现事件检测和响应的自动化。
日志管理:日志管理 - 收集和分析每个网络事件产生的日志数据 - 是监控的一个重要子集。虽然大多数 IT 部门都会收集日志数据,但通过分析可以确定正常或基线活动,并揭示表明可疑活动的异常。事实上许多黑客寄望于公司并不总是分析日志数据,这可能会让他们的病毒和恶意软件在受害者的系统上运行数周甚至数月而不被发现。大多数 SIEM 解决方案都包含日志管理功能。
威胁检测:SOC 团队从噪音中筛选出信号 - 从误报中筛选出实际网络威胁和黑客使用的迹象 - 然后按严重程度对威胁进行分级。现代 SIEM 解决方案包括人工智能 (AI),它可以自动执行这些流程,并从数据中“学习”,随着时间的推移更好地发现可疑活动。
事件响应:在应对威胁或实际事件时,SOC 会采取行动限制损失。行动可包括:
根本原因调查,以确定导致黑客进入系统的技术漏洞,以及导致事件发生的其他因素(如密码缺陷或政策执行不力)。
关闭被入侵的端点或断开它们与网络的连接。
隔离受感染的网络区域或重新路由网络流量。
暂停或停止受影响的应用程序或进程。
删除损坏或受感染的文件。
运行防病毒或反恶意软件软件。
停止使用内部和外部用户的密码。
许多 XDR 解决方案使 SOC 能够自动化和加速这些事件响应和其他事件响应。
SOC 恢复、优化和合规性
恢复和补救:一旦事件得到遏制,SOC 就会消除威胁,然后努力将受影响的资产恢复到事件发生之前的状态,例如擦除、恢复和重新连接磁盘、用户设备和其他端点;恢复网络流量;重新启动应用程序和流程。如果发生数据泄露或勒索软件攻击,恢复可能还涉及切换到备份系统,并重置密码和身份验证凭据。
事后总结和完善:为防止事件再次发生,SOC 利用利用从事件中获得的任何新情报来更好地处理漏洞、更新流程和政策、选择新的网络安全工具或修改事件响应计划。在更高层次上,SOC 团队可能还会试图确定该事件是否揭示了团队需要做好准备的新的或不断变化的网络安全趋势。
合规管理:SOC 的工作是确保所有应用程序、系统、安全工具和流程都符合数据隐私法规,例如 GDPR(全球数据保护条例)、CCPA(加州消费者隐私法案)、PCI DSS(支付卡行业数据安全标准)和 HIPAA(健康保险流通和责任法案)。事件发生后,SOC 确保按照法规通知用户、监管机构、执法部门和其他各方,并保留所需的事件数据以供取证和审计。