什么是安全運營中心?安全運營中心,也稱為 SOC,是組織內的集中式安全中心,負責持續監控組織的安全環境,例如安全基礎設施、網絡、應用程序、公司設備以及任何其他與之交互的技術或服務該組織。除了對安全威脅進行持續監控、威脅分析和補救之外,安全運營中心還負責改進現有的安全計劃,以確保組織的安全態勢盡可能穩健和強化。
為了滿足這些計劃,安全運營中心不斷地從跨越整個組織的一系列數據源中獲取和記錄數據,提供安全運營團隊可用于實時安全分析的實時安全數據。在此過程中,SOC 團隊將全天候觀察、分析和修復潛在的安全威脅,并將關鍵的安全威脅信息傳遞給最高層領導。
安全運營中心如何工作?
成功的安全運營中心的關鍵組成部分之一是使用安全信息和事件管理系統,也稱為 SIEM。安全信息和事件管理系統旨在從服務中獲取實時數據,這些服務從組織網絡中的一系列設備輪詢關鍵安全數據。從 SIEM 收集的數據可以以多種方式使用。例如,SIEM 收集的可疑數據可用于生成可疑或異常事件的警報。
SIEM 用于將安全相關數據匯集到漏洞評估解決方案中,例如入侵防御系統 (IPS)、入侵檢測系統 (IDS)、安全特定數據庫、數據倉庫和威脅情報平臺 (TIP),用于進一步執行數據的安全操作。
安全運營中心的好處
擁有 SOC 的主要好處之一是組織從該安全計劃中獲得的增強的安全態勢。投資于安全運營中心的組織受益于對其整個組織的持續監控,24/7 全天候收集有關其網絡、設備和應用程序的實時數據。這極大地減少了組織從事件到響應的時間,從而大大減輕了攻擊的潛在損害。采用強大 SOC 模型的組織更有可能及早發現惡意攻擊并減少潛在網絡安全攻擊的損害。
安全運營中心的挑戰
安全運營中心面臨兩大障礙:人員短缺和技能短缺。
- 人員短缺:在當今充滿活力的就業市場中,組織難以招聘和留住頂尖人才。在安全領域尤其如此。今年年初有近 500,000 個安全職位空缺,而且沒有足夠的合格候選人來填補這些職位,安全團隊繼續人手不足和過度使用。
- 技能短缺:安全行業也受到技能短缺的嚴重影響。當人員配備有限時,組織可以接觸到不太合格的候選人。這意味著雇主的任務是在內部提高員工的技能或依靠現有員工(有時來自外圍部門)承擔額外的工作職責。
什么是安全運營中心工具?
安全運營中心充當當今依賴技術的現代組織的威脅識別和遏制策略。威脅遏制依賴于一系列安全應用程序、服務和工具來降低網絡攻擊的風險。
每個安全運營中心在他們選擇用來強化其安全環境的安全工具方面都是獨一無二的。但是,有少數安全應用程序、服務和工具在大多數安全運營中心中都很常見。
行為監控系統
行為監控是任何現代安全運營中心的標準做法,是監控各種組織屬性的過程,目的是發現可能表明存在安全威脅的異常情況。
行為監控工具將分析的常見屬性是:
- 網絡活動
- 可疑下載
- 端點重新啟動
- 違反政策
- 評估入站/出站流量的地理位置
- 錯誤信息
端點監控系統
用戶端點是當今網絡安全攻擊中最容易受到攻擊的目標之一。不幸的是,用戶很容易打開惡意電子郵件或成為社會工程攻擊的受害者。主動端點監控在當今安全運營中心的重要性列表中居高不下。
SIEM(安全信息和事件管理)
安全信息和事件管理系統 (SIEM) 的任務是從各種安全應用程序、服務和工具收集實時安全數據,并為可疑活動生成警報。SIEM 是安全運營中心中最重要的工具之一,因為它充當中央數據收集中心,幾乎所有與安全相關的決策都依賴于該中心。
入侵檢測系統 (IDS)
入侵檢測系統或簡稱 IDS 是安全運營中心的另一個關鍵組件。IDS 的任務是監控流入和流出網絡的數據。它的作用是識別和標記在組織網絡中傳播的潛在安全威脅。
入侵保護系統 (IPS)
入侵保護系統(或簡稱 IPS)與 IDS 類似,因為它的作用是緩解通過組織網絡進行的威脅。然而,與 IDS 不同,其中可疑數據包被識別并標記以供安全運營團隊采取進一步行動,IPS 將實時識別并從網絡中刪除可疑數據包。
了解 SOC 團隊的角色和職責
當今安全運營團隊的結構對于任何組織的成功都至關重要。安全運營團隊中的個人不僅需要接受適當的培訓,而且整個團隊必須以和諧的方式運作,以確保其組織的安全性和完整性。
- 首席信息安全官 (CISO):首席信息官或 CISO 是 C-Suite 職位,其任務是就影響整個公司的安全計劃做出高層決策。
這些人將制定與安全相關的戰略和行動,這些戰略和行動將滲透到安全運營中心的領導層,例如事件響應主管和 SOC 經理,以確保他們在安全運營和威脅預防運營方面的方法一致。
- 高級安全經理:高級安全經理的任務是監督其 SOC 團隊的所有操作,并就團隊在發生嚴重安全威脅時應如何操作和響應提供高級指令。高級安全經理還負責與首席信息安全官 (CISO) 溝通指導,以傳遞有關嚴重安全問題的信息。
- 事件響應者:事件響應者負責配置和管理安全監控工具以及報告已識別的網絡威脅。該角色負責監督數百個日常安全威脅,并負責就如何處理潛在的安全威脅做出實時決策。
- SOC分析師:SOC 分析師的任務是為 L2/L3 安全分析師監控安全事件和分類警報。他們將調查所有可疑活動并響應警報。
VMware 如何為安全運營中心賦能?
VMware 提供了一套安全解決方案來實現您的安全運營中心的現代化。借助 VMware,您可以自信、快速、準確地擴展您的響應。VMware 通過同類最佳的平臺提供開箱即用的運營信心并縮短解決問題的時間。
