負(fù)責(zé)保護(hù)組織免受網(wǎng)絡(luò)威脅的安全運(yùn)營(yíng)中心 (SOC) 不僅包括安全人員，還包括他們用來履行職責(zé)的工具和技術(shù)。隨著網(wǎng)絡(luò)威脅形勢(shì)的發(fā)展，SOC 成為組織中越來越重要的組成部分。如果沒有 SOC，組織可能缺乏識(shí)別和響應(yīng)高級(jí)網(wǎng)絡(luò)威脅所需的能力。

SOC 的工作原理

SOC的職責(zé)包括監(jiān)控企業(yè) IT 環(huán)境中的潛在威脅并響應(yīng)已識(shí)別的入侵。SOC 通常可以分為兩類之一：

• 內(nèi)部 SOC：一些組織擁有維護(hù)完整內(nèi)部 SOC 所需的資源。這包括執(zhí)行全天候安全監(jiān)控以及吸引和留住具有專業(yè)安全知識(shí)的人員的能力。
• 托管 SOC：對(duì)于許多組織而言，在內(nèi)部維護(hù)成熟的 SOC 既不可行也不可取。組織可以利用各種SOC 即服務(wù)產(chǎn)品，例如托管檢測(cè)和響應(yīng)(MDR)，以保護(hù)組織免受網(wǎng)絡(luò)威脅。

成功的安全運(yùn)營(yíng)中心的最佳實(shí)踐

無(wú)論是內(nèi)部還是外部，SOC 都應(yīng)實(shí)施以下最佳實(shí)踐。

使戰(zhàn)略與業(yè)務(wù)目標(biāo)保持一致

安全通常被視為與組織的其他運(yùn)營(yíng)相沖突。安全人員與其他業(yè)務(wù)部門之間的這種敵對(duì)關(guān)系可能導(dǎo)致違反或忽視安全策略。此外，對(duì)安全的重要性及其對(duì)業(yè)務(wù)的價(jià)值缺乏了解會(huì)使 SOC 難以獲得完成其工作所需的資金、資源和人員。

使 SOC 戰(zhàn)略與業(yè)務(wù)目標(biāo)保持一致有助于將 SOC 視為資產(chǎn)和組織成功的關(guān)鍵組成部分。通過執(zhí)行風(fēng)險(xiǎn)評(píng)估，SOC 可以識(shí)別公司資產(chǎn)并評(píng)估網(wǎng)絡(luò)攻擊對(duì)這些系統(tǒng)的潛在風(fēng)險(xiǎn)和影響。接下來，團(tuán)隊(duì)可以確定證明 SOC 如何支持其余業(yè)務(wù)的指標(biāo)和 KPI。最后，團(tuán)隊(duì)可以定義旨在實(shí)現(xiàn)這些目標(biāo)的流程和程序。

建立技術(shù)工具棧

SOC 人員必須管理各種各樣的系統(tǒng)和潛在的安全威脅。這可能會(huì)讓人很想獲取和部署所有最新工具，以最大限度地發(fā)揮 SOC 的功能。然而，新工具提供的收益遞減，并且必須進(jìn)行部署、配置和監(jiān)控，這占用了用于識(shí)別和管理其他威脅的資源。應(yīng)仔細(xì)考慮 SOC 的技術(shù)工具堆棧，以確保每個(gè)工具的好處超過與其相關(guān)的成本。理想情況下，SOC 應(yīng)盡可能使用集成安全平臺(tái)來簡(jiǎn)化安全監(jiān)控和管理。

使用全面的威脅情報(bào)和機(jī)器學(xué)習(xí)

快速威脅檢測(cè)和響應(yīng)對(duì)于最小化安全事件的可能性和影響至關(guān)重要。攻擊者訪問組織環(huán)境的時(shí)間越長(zhǎng)，竊取敏感數(shù)據(jù)、植入惡意軟件或?qū)驹斐善渌麚p害的機(jī)會(huì)就越大。

威脅情報(bào)和機(jī)器學(xué)習(xí) (ML) 對(duì)于 SOC 快速識(shí)別和響應(yīng)威脅的能力至關(guān)重要。借助全面的威脅情報(bào)，機(jī)器學(xué)習(xí)算法可以篩選大量安全數(shù)據(jù)并識(shí)別可能對(duì)組織構(gòu)成的威脅。當(dāng)檢測(cè)到威脅時(shí)，可以將此數(shù)據(jù)提供給人類分析師以告知進(jìn)一步的行動(dòng)，或者可以自動(dòng)觸發(fā)補(bǔ)救行動(dòng)。

確保整個(gè)網(wǎng)絡(luò)的可見性

現(xiàn)代企業(yè)網(wǎng)絡(luò)龐大、多樣且不斷擴(kuò)展。公司 IT 環(huán)境現(xiàn)在包括本地和基于云的系統(tǒng)、遠(yuǎn)程工作人員以及移動(dòng)和物聯(lián)網(wǎng) (IoT) 設(shè)備。為了管理組織的風(fēng)險(xiǎn)，SOC 人員需要跨網(wǎng)絡(luò)的端到端可見性。這需要安全集成，以確保在多個(gè)顯示和儀表板之間切換的需要不會(huì)導(dǎo)致安全分析師忽視或遺漏潛在威脅。

持續(xù)監(jiān)控網(wǎng)絡(luò)

網(wǎng)絡(luò)攻擊隨時(shí)可能發(fā)生。即使威脅行為者在組織的時(shí)區(qū)內(nèi)活動(dòng)，他們也可能故意將攻擊時(shí)間安排在組織可能不太準(zhǔn)備好響應(yīng)的晚上或周末。任何響應(yīng)延遲都為攻擊者提供了一個(gè)窗口，可以在不受 SOC 人員檢測(cè)或干擾的情況下實(shí)現(xiàn)攻擊目標(biāo)。出于這個(gè)原因，企業(yè) SOC 應(yīng)該能夠 24×7 監(jiān)控企業(yè)網(wǎng)絡(luò)。持續(xù)監(jiān)控可實(shí)現(xiàn)更快速的威脅檢測(cè)和響應(yīng)，從而降低潛在成本和攻擊對(duì)組織的影響。