什么是安全运营中心?安全运营中心,也称为 SOC,是组织内的集中式安全中心,负责持续监控组织的安全环境,例如安全基础设施、网络、应用程序、公司设备以及任何其他与之交互的技术或服务该组织。除了对安全威胁进行持续监控、威胁分析和补救之外,安全运营中心还负责改进现有的安全计划,以确保组织的安全态势尽可能稳健和强化。
为了满足这些计划,安全运营中心不断地从跨越整个组织的一系列数据源中获取和记录数据,提供安全运营团队可用于实时安全分析的实时安全数据。在此过程中,SOC 团队将全天候观察、分析和修复潜在的安全威胁,并将关键的安全威胁信息传递给最高层领导。
安全运营中心如何工作?
成功的安全运营中心的关键组成部分之一是使用安全信息和事件管理系统,也称为 SIEM。安全信息和事件管理系统旨在从服务中获取实时数据,这些服务从组织网络中的一系列设备轮询关键安全数据。从 SIEM 收集的数据可以以多种方式使用。例如,SIEM 收集的可疑数据可用于生成可疑或异常事件的警报。
SIEM 用于将安全相关数据汇集到漏洞评估解决方案中,例如入侵防御系统 (IPS)、入侵检测系统 (IDS)、安全特定数据库、数据仓库和威胁情报平台 (TIP),用于进一步执行数据的安全操作。
安全运营中心的好处
拥有 SOC 的主要好处之一是组织从该安全计划中获得的增强的安全态势。投资于安全运营中心的组织受益于对其整个组织的持续监控,24/7 全天候收集有关其网络、设备和应用程序的实时数据。这极大地减少了组织从事件到响应的时间,从而大大减轻了攻击的潜在损害。采用强大 SOC 模型的组织更有可能及早发现恶意攻击并减少潜在网络安全攻击的损害。
安全运营中心的挑战
安全运营中心面临两大障碍:人员短缺和技能短缺。
- 人员短缺:在当今充满活力的就业市场中,组织难以招聘和留住顶尖人才。在安全领域尤其如此。今年年初有近 500,000 个安全职位空缺,而且没有足够的合格候选人来填补这些职位,安全团队继续人手不足和过度使用。
- 技能短缺:安全行业也受到技能短缺的严重影响。当人员配备有限时,组织可以接触到不太合格的候选人。这意味着雇主的任务是在内部提高员工的技能或依靠现有员工(有时来自外围部门)承担额外的工作职责。
什么是安全运营中心工具?
安全运营中心充当当今依赖技术的现代组织的威胁识别和遏制策略。威胁遏制依赖于一系列安全应用程序、服务和工具来降低网络攻击的风险。
每个安全运营中心在他们选择用来强化其安全环境的安全工具方面都是独一无二的。但是,有少数安全应用程序、服务和工具在大多数安全运营中心中都很常见。
行为监控系统
行为监控是任何现代安全运营中心的标准做法,是监控各种组织属性的过程,目的是发现可能表明存在安全威胁的异常情况。
行为监控工具将分析的常见属性是:
- 网络活动
- 可疑下载
- 端点重新启动
- 违反政策
- 评估入站/出站流量的地理位置
- 错误信息
端点监控系统
用户端点是当今网络安全攻击中最容易受到攻击的目标之一。不幸的是,用户很容易打开恶意电子邮件或成为社会工程攻击的受害者。主动端点监控在当今安全运营中心的重要性列表中居高不下。
SIEM(安全信息和事件管理)
安全信息和事件管理系统 (SIEM) 的任务是从各种安全应用程序、服务和工具收集实时安全数据,并为可疑活动生成警报。SIEM 是安全运营中心中最重要的工具之一,因为它充当中央数据收集中心,几乎所有与安全相关的决策都依赖于该中心。
入侵检测系统 (IDS)
入侵检测系统或简称 IDS 是安全运营中心的另一个关键组件。IDS 的任务是监控流入和流出网络的数据。它的作用是识别和标记在组织网络中传播的潜在安全威胁。
入侵保护系统 (IPS)
入侵保护系统(或简称 IPS)与 IDS 类似,因为它的作用是缓解通过组织网络进行的威胁。然而,与 IDS 不同,其中可疑数据包被识别并标记以供安全运营团队采取进一步行动,IPS 将实时识别并从网络中删除可疑数据包。
了解 SOC 团队的角色和职责
当今安全运营团队的结构对于任何组织的成功都至关重要。安全运营团队中的个人不仅需要接受适当的培训,而且整个团队必须以和谐的方式运作,以确保其组织的安全性和完整性。
- 首席信息安全官 (CISO):首席信息官或 CISO 是 C-Suite 职位,其任务是就影响整个公司的安全计划做出高层决策。
这些人将制定与安全相关的战略和行动,这些战略和行动将渗透到安全运营中心的领导层,例如事件响应主管和 SOC 经理,以确保他们在安全运营和威胁预防运营方面的方法一致。
- 高级安全经理:高级安全经理的任务是监督其 SOC 团队的所有操作,并就团队在发生严重安全威胁时应如何操作和响应提供高级指令。高级安全经理还负责与首席信息安全官 (CISO) 沟通指导,以传递有关严重安全问题的信息。
- 事件响应者:事件响应者负责配置和管理安全监控工具以及报告已识别的网络威胁。该角色负责监督数百个日常安全威胁,并负责就如何处理潜在的安全威胁做出实时决策。
- SOC分析师:SOC 分析师的任务是为 L2/L3 安全分析师监控安全事件和分类警报。他们将调查所有可疑活动并响应警报。
VMware 如何为安全运营中心赋能?
VMware 提供了一套安全解决方案来实现您的安全运营中心的现代化。借助 VMware,您可以自信、快速、准确地扩展您的响应。VMware 通过同类最佳的平台提供开箱即用的运营信心并缩短解决问题的时间。
