网络威胁形势正在迅速发展,公司面临着越来越多的高度复杂的威胁。勒索软件、数据泄露和其他安全事件是重大风险,可能会给组织带来高昂的成本。安全运营中心(SOC) 是组织网络安全计划的核心,负责识别、预防和补救针对组织 IT 系统的攻击。一个强大、有效的 SOC 对于降低组织成为数据泄露或其他安全事件受害者的风险至关重要,这些事件的代价可能高达数百万美元。
什么是安全运营中心 (SOC) 框架?
SOC 的作用是保护组织免受网络威胁。这包括识别潜在的安全威胁并采取措施防止或补救这些威胁。SOC 框架定义了 SOC 完成其工作所需的系统和服务的体系结构。例如,SOC 框架包括执行 24×7 安全监控、分析数据、识别潜在威胁和响应已识别攻击的能力。
SOC 框架的原则
SOC 框架应涵盖组织 SOC 的所有核心功能,并应包括以下内容:
- 监控: SOC 负责执行全天候安全监控,以识别对组织的潜在威胁。分析师需要工具来大规模执行此监控,例如安全信息和事件监控(SIEM) 解决方案、扩展检测和响应(XDR) 以及自动从多个来源收集和汇总安全数据的类似解决方案。
- 分析:收集安全数据为分析师提供了警报、日志和其他数据的池,他们必须分析这些数据以识别对组织的可信威胁。人工智能和机器学习可以帮助完成这一过程,消除误报并引起人们对真正威胁的关注。
- 事件响应:如果 SOC 识别出对组织的威胁,它有责任采取行动补救该威胁。一些安全解决方案,例如 XDR、端点检测和响应(EDR) 以及安全编排、自动化和响应 (SOAR) 解决方案,为事件补救提供内置支持,甚至可以自动响应某些类型的安全事件。
- 审计和日志记录:日志和记录对于法规遵从性和记录对已识别安全事件的响应至关重要。SOAR 解决方案和安全平台提供内置的日志记录功能,并且可能能够自动生成用于各种目的的报告,例如合规性或内部报告。
- 威胁搜寻:并非所有威胁都通过威胁检测和响应来识别和管理,从而使组织系统内的入侵未被发现。威胁搜寻是一项主动活动,SOC 分析师在其中搜索这些未知威胁,并需要支持从多个来源收集和分析安全数据的工具。
公司 SOC 的责任范围很广。SOC 框架有助于确保他们拥有履行职责所需的工具,并确保这些解决方案作为集成安全架构的一部分协同工作。
SOC 服务类型
SOC 可以有几种不同的形式。适合组织的 SOC 取决于其规模、安全成熟度和各种其他因素。
内部SOC
一些大型企业维护自己的内部 SOC。对于拥有支持成熟 SOC 所需资源的组织而言,这可以在很大程度上控制其网络安全及其数据管理方式。但是,维护有效的内部 SOC 可能既困难又昂贵。网络攻击随时可能发生,因此全天候安全监控和事件响应至关重要。由于网络安全技能持续短缺,吸引和留住 24×7 覆盖所需的安全专业知识可能很困难。
托管SOC
对于没有规模、资源或不想维护内部 SOC 的组织,可以使用许多托管 SOC 选项,包括托管检测和响应(MDR) 或SOC 即服务(SOCaaS)。这些组织可以与提供 24x7x365 安全监控和事件响应支持的第三方组织合作。此外,与托管安全提供商的合作伙伴关系可以在需要时提供专业的安全专业知识。托管安全产品的主要缺点是它降低了组织对其 SOC 的控制。托管安全提供商有自己的工具、政策和程序,可能无法满足客户的特殊要求。