负责保护组织免受网络威胁的安全运营中心 (SOC) 不仅包括安全人员,还包括他们用来履行职责的工具和技术。随着网络威胁形势的发展,SOC 成为组织中越来越重要的组成部分。如果没有 SOC,组织可能缺乏识别和响应高级网络威胁所需的能力。
SOC 的工作原理
SOC的职责包括监控企业 IT 环境中的潜在威胁并响应已识别的入侵。SOC 通常可以分为两类之一:
- 内部 SOC:一些组织拥有维护完整内部 SOC 所需的资源。这包括执行全天候安全监控以及吸引和留住具有专业安全知识的人员的能力。
- 托管 SOC:对于许多组织而言,在内部维护成熟的 SOC 既不可行也不可取。组织可以利用各种SOC 即服务产品,例如托管检测和响应(MDR),以保护组织免受网络威胁。
成功的安全运营中心的最佳实践
无论是内部还是外部,SOC 都应实施以下最佳实践。
使战略与业务目标保持一致
安全通常被视为与组织的其他运营相冲突。安全人员与其他业务部门之间的这种敌对关系可能导致违反或忽视安全策略。此外,对安全的重要性及其对业务的价值缺乏了解会使 SOC 难以获得完成其工作所需的资金、资源和人员。
使 SOC 战略与业务目标保持一致有助于将 SOC 视为资产和组织成功的关键组成部分。通过执行风险评估,SOC 可以识别公司资产并评估网络攻击对这些系统的潜在风险和影响。接下来,团队可以确定证明 SOC 如何支持其余业务的指标和 KPI。最后,团队可以定义旨在实现这些目标的流程和程序。
建立技术工具栈
SOC 人员必须管理各种各样的系统和潜在的安全威胁。这可能会让人很想获取和部署所有最新工具,以最大限度地发挥 SOC 的功能。然而,新工具提供的收益递减,并且必须进行部署、配置和监控,这占用了用于识别和管理其他威胁的资源。应仔细考虑 SOC 的技术工具堆栈,以确保每个工具的好处超过与其相关的成本。理想情况下,SOC 应尽可能使用集成安全平台来简化安全监控和管理。
使用全面的威胁情报和机器学习
快速威胁检测和响应对于最小化安全事件的可能性和影响至关重要。攻击者访问组织环境的时间越长,窃取敏感数据、植入恶意软件或对公司造成其他损害的机会就越大。
威胁情报和机器学习 (ML) 对于 SOC 快速识别和响应威胁的能力至关重要。借助全面的威胁情报,机器学习算法可以筛选大量安全数据并识别可能对组织构成的威胁。当检测到威胁时,可以将此数据提供给人类分析师以告知进一步的行动,或者可以自动触发补救行动。
确保整个网络的可见性
现代企业网络庞大、多样且不断扩展。公司 IT 环境现在包括本地和基于云的系统、远程工作人员以及移动和物联网 (IoT) 设备。为了管理组织的风险,SOC 人员需要跨网络的端到端可见性。这需要安全集成,以确保在多个显示和仪表板之间切换的需要不会导致安全分析师忽视或遗漏潜在威胁。
持续监控网络
网络攻击随时可能发生。即使威胁行为者在组织的时区内活动,他们也可能故意将攻击时间安排在组织可能不太准备好响应的晚上或周末。任何响应延迟都为攻击者提供了一个窗口,可以在不受 SOC 人员检测或干扰的情况下实现攻击目标。出于这个原因,企业 SOC 应该能够 24×7 监控企业网络。持续监控可实现更快速的威胁检测和响应,从而降低潜在成本和攻击对组织的影响。
