負(fù)責(zé)保護(hù)組織免受網(wǎng)絡(luò)威脅的安全運(yùn)營中心 (SOC) 不僅包括安全人員，還包括他們用來履行職責(zé)的工具和技術(shù)。隨著網(wǎng)絡(luò)威脅形勢的發(fā)展，SOC 成為組織中越來越重要的組成部分。如果沒有 SOC，組織可能缺乏識別和響應(yīng)高級網(wǎng)絡(luò)威脅所需的能力。

SOC 的工作原理

SOC的職責(zé)包括監(jiān)控企業(yè) IT 環(huán)境中的潛在威脅并響應(yīng)已識別的入侵。SOC 通常可以分為兩類之一：

• 內(nèi)部 SOC：一些組織擁有維護(hù)完整內(nèi)部 SOC 所需的資源。這包括執(zhí)行全天候安全監(jiān)控以及吸引和留住具有專業(yè)安全知識的人員的能力。
• 托管 SOC：對于許多組織而言，在內(nèi)部維護(hù)成熟的 SOC 既不可行也不可取。組織可以利用各種SOC 即服務(wù)產(chǎn)品，例如托管檢測和響應(yīng)(MDR)，以保護(hù)組織免受網(wǎng)絡(luò)威脅。

成功的安全運(yùn)營中心的最佳實(shí)踐

無論是內(nèi)部還是外部，SOC 都應(yīng)實(shí)施以下最佳實(shí)踐。

使戰(zhàn)略與業(yè)務(wù)目標(biāo)保持一致

安全通常被視為與組織的其他運(yùn)營相沖突。安全人員與其他業(yè)務(wù)部門之間的這種敵對關(guān)系可能導(dǎo)致違反或忽視安全策略。此外，對安全的重要性及其對業(yè)務(wù)的價值缺乏了解會使 SOC 難以獲得完成其工作所需的資金、資源和人員。

使 SOC 戰(zhàn)略與業(yè)務(wù)目標(biāo)保持一致有助于將 SOC 視為資產(chǎn)和組織成功的關(guān)鍵組成部分。通過執(zhí)行風(fēng)險評估，SOC 可以識別公司資產(chǎn)并評估網(wǎng)絡(luò)攻擊對這些系統(tǒng)的潛在風(fēng)險和影響。接下來，團(tuán)隊可以確定證明 SOC 如何支持其余業(yè)務(wù)的指標(biāo)和 KPI。最后，團(tuán)隊可以定義旨在實(shí)現(xiàn)這些目標(biāo)的流程和程序。

建立技術(shù)工具棧

SOC 人員必須管理各種各樣的系統(tǒng)和潛在的安全威脅。這可能會讓人很想獲取和部署所有最新工具，以最大限度地發(fā)揮 SOC 的功能。然而，新工具提供的收益遞減，并且必須進(jìn)行部署、配置和監(jiān)控，這占用了用于識別和管理其他威脅的資源。應(yīng)仔細(xì)考慮 SOC 的技術(shù)工具堆棧，以確保每個工具的好處超過與其相關(guān)的成本。理想情況下，SOC 應(yīng)盡可能使用集成安全平臺來簡化安全監(jiān)控和管理。

使用全面的威脅情報和機(jī)器學(xué)習(xí)

快速威脅檢測和響應(yīng)對于最小化安全事件的可能性和影響至關(guān)重要。攻擊者訪問組織環(huán)境的時間越長，竊取敏感數(shù)據(jù)、植入惡意軟件或?qū)驹斐善渌麚p害的機(jī)會就越大。

威脅情報和機(jī)器學(xué)習(xí) (ML) 對于 SOC 快速識別和響應(yīng)威脅的能力至關(guān)重要。借助全面的威脅情報，機(jī)器學(xué)習(xí)算法可以篩選大量安全數(shù)據(jù)并識別可能對組織構(gòu)成的威脅。當(dāng)檢測到威脅時，可以將此數(shù)據(jù)提供給人類分析師以告知進(jìn)一步的行動，或者可以自動觸發(fā)補(bǔ)救行動。

確保整個網(wǎng)絡(luò)的可見性

現(xiàn)代企業(yè)網(wǎng)絡(luò)龐大、多樣且不斷擴(kuò)展。公司 IT 環(huán)境現(xiàn)在包括本地和基于云的系統(tǒng)、遠(yuǎn)程工作人員以及移動和物聯(lián)網(wǎng) (IoT) 設(shè)備。為了管理組織的風(fēng)險，SOC 人員需要跨網(wǎng)絡(luò)的端到端可見性。這需要安全集成，以確保在多個顯示和儀表板之間切換的需要不會導(dǎo)致安全分析師忽視或遺漏潛在威脅。

持續(xù)監(jiān)控網(wǎng)絡(luò)

網(wǎng)絡(luò)攻擊隨時可能發(fā)生。即使威脅行為者在組織的時區(qū)內(nèi)活動，他們也可能故意將攻擊時間安排在組織可能不太準(zhǔn)備好響應(yīng)的晚上或周末。任何響應(yīng)延遲都為攻擊者提供了一個窗口，可以在不受 SOC 人員檢測或干擾的情況下實(shí)現(xiàn)攻擊目標(biāo)。出于這個原因，企業(yè) SOC 應(yīng)該能夠 24×7 監(jiān)控企業(yè)網(wǎng)絡(luò)。持續(xù)監(jiān)控可實(shí)現(xiàn)更快速的威脅檢測和響應(yīng)，從而降低潛在成本和攻擊對組織的影響。