SOC 代表安全运营中心,它是任何企业中负责组织安全、保护企业免受网络风险的单一、集中的团队或职能。
安全运营中心将管理和控制业务运营的所有安全要素,从监控资产到雇用合适的人员和流程,再到检测和应对威胁。
在本文中,我们将介绍 IT 专业人员组建和使用 SOC 所需的所有知识。
SOC 负责什么?
根据您企业的规模,SOC 可能拥有更多或更少的员工或预算,但 SOC 的主要职责大致相同。这可以分为三类:
1.预防
SOC 职责的关键部分是全天候监控运营情况,并对任何异常或不寻常情况发出警报。
这将有助于企业发现任何威胁或错误迹象,防止其演变成全面的网络攻击。
SOC 分析师将收集有关正常运营的情报,跟踪和监控日志以设置防御基线,并采用可在出现问题时立即发出智能警报的技术。
SOC 可能管理的属于“预防”类别的其他任务可能是补丁管理、防火墙部署或使用防病毒和其他安全软件保护资产。
2. 调查
一旦向 SOC 发送了有关潜在问题的警报,SOC 就有责任调查此风险,寻找 IoC(威胁指标),并评估下一步该做什么。
如今,SOC 团队经常受到“警报疲劳”的困扰,他们收到的通知太多了,很难读懂真正令人担忧的内容。
排除误报并考虑背景信息非常重要。例如,安全工具可能会发现某个云存储桶上的云配置错误。
但如果存储桶不包含任何敏感数据,这可能并不像乍一看那么紧急。
3. 回应
当威胁得到确认时,SOC 也将成为您的第一道防线。因此,SOC 将对网络拥有高水平的控制权,例如隔离可能已被破坏的端点或终止特定进程以阻止攻击蔓延。
一旦攻击得到缓解,SOC 还将负责恢复正常业务,包括在必要时访问备份,或清除端点然后重新启动它们并帮助用户重新设置。
SOC 的角色只有在网络恢复到事件发生前的状态时才算完成。
事实上,即使企业已经摆脱了攻击,SOC 可能还有更多工作要做。
例如,SOC 可能还负责制作监管报告或合规性要求的审计线索,或者他们可能需要进行更多的取证事件响应以发现问题的根本原因。
一旦发现问题,他们就可以实施更好的工具和流程,以增加其角色的“预防”部分,从而使 SOC 的工作具有周期性。
当今的组织在创建内部 SOC 时面临哪些挑战?
对于当今的企业来说,主要有两种选择,要么创建内部 SOC 来管理安全,要么将其外包给MSSP(托管安全服务提供商)。
由于全职员工的网络安全技能缺口、警报疲劳的挑战以及攻击者及其工具的日益复杂化,越来越多的组织正在寻求外包 SOC,而不是费尽心思将它们纳入自己的业务范围。
这种方法使企业受益于强大而智能的安全团队,而无需高薪聘请全职员工。
这也减轻了企业的负担,企业可以将保护安全防御的工作交给真正精通该领域的人,而将精力集中在自己的核心产品或服务上。
拥有安全运营中心能给客户带来哪些好处?
如果您向 IT 客户提供托管 SOC 作为托管服务的一部分,您需要能够轻松地谈论其好处。
如果您不提供托管安全服务下的 SOC 角色,您很可能会向客户提供非常具体的一次性工作。
例如在他们的设备上安装端点保护软件、将防火墙设置为“一次性”任务,或者最糟糕的情况——在攻击导致现有问题后介入,尝试实时解决危机。
相反,你应该像这样和你的客户谈论价值。
提供托管 SOC 意味着他们会得到:
⏺ 主动方法:不要等待问题发生,首先要降低攻击者破坏您的环境的可能性。
⏺ 持续监控:请放心,有人在监视您的日志以查找问题的第一个迹象,特别是因为大多数攻击都未被发现。
⏺ 改进事件响应:在您拿起电话找到网络响应团队的这段时间内,攻击者能做什么?我们不要去寻找答案。
⏺ 减少停机时间: SOC 将组织备份和 B 计划,以便即使发生攻击,您的业务也不会陷入停顿。
⏺ 更高的可见性:所有安全工具和流程均由单个集中团队和仪表板进行管理,因此不会出现任何疏漏。
⏺ 可预测的成本:大多数 MSSP 或外包 SOC 都收取透明的月费,而将网络安全交给运气可能会带来昂贵的风险。
⏺ 智能事件响应:受益于 IT 团队的专业知识,他们已经彻底了解您的业务、系统、硬件和软件。
