什么是安全运营中心 (SOC)？

什么是安全运营中心 (SOC)？

安全运营中心 (SOC) 也称为信息安全运营中心 (ISOC)，这是一个供安全专业人员进行监测、分析和缓解潜在网络威胁的专用设施。由于现代企业的分布式特性，“SOC”经常被用来描述执行这些功能的安全工程师和分析员团队。

虽然 SOC 的架构因组织而异，但它履行了几个关键的功能：

• 跟踪整个网络、服务器、数据库和设备的活动
• 调查和应对威胁
• 确保合规性并改善安全态势

通常情况下，一个组织只依靠一个内部 SOC 进行威胁管理和修复，但大型企业可能会在不同国家维持多个 SOC（有时称全球安全运营中心，或 GSOC），或选择雇用第三方安全分析师和工程师小组。

SOC 如何保护组织免受威胁？

一个 SOC 可以多种不同的方式配置，并可根据一个组织的需求和能力进行调整。一般来说，它的职责分为三部分：

防护

资产盘点：为了保护企业免遭威胁并识别安全漏洞，SOC 需要全面了解系统、应用程序和数据，以及用于保护它们的安全工具。可以使用资产发现工具来执行盘点流程。

漏洞评估：为了衡量攻击的潜在影响，SOC 可以对一个组织的硬件和软件进行定期测试，并利用测试结果来更新其安全政策或制定事件应对计划。

预防性维护：一旦 SOC 确定了组织的基础结构的漏洞，它就可以采取措施以加强其安全态势。相关措施可能包括更新防火墙、维护允许列表和阻止列表、修补软件、以及完善安全协议和程序。

检测

日志收集和分析：SOC 将收集整个组织的网络事件所产生的日志数据（如由防火墙、入侵预防和检测系统等记录的数据），然后分析这些日志，找出任何异常或可疑活动。根据组织基础结构的规模和复杂性，这可能是一个资源密集型的过程，可以通过一个自动工具来完成。

威胁监测：SOC 使用日志数据来创建可疑活动和其他入侵指标 (IOC) 警报。IOC 是数据中表明可能发生漏洞或其他恶意事件的异常现象 — 网络流量异常、系统文件意外变化、未经授权的应用程序使用、奇怪的 DNS 请求，或其他行为。

安全信息与事件管理 (SIEM)：SOC 经常结合使用 SIEM 解决方案，以实现威胁保护和补救的自动化。SIEM 的常见功能包括：

• 日志数据汇总
• 警报监测
• 高级威胁情报
• 安全事件分析
• 合规性报告

保护

事件响应与补救：攻击发生时，SOC 通常会采取几个步骤来缓解损害并恢复受影响的系统。相关步骤可能包括隔离受感染设备、删除被破坏的文件、运行反恶意软件的软件并进行根本原因调查。SOC 可以利用这些发现来改进现有的安全政策。

合规性报告：攻击发生后，SOC 将就被破坏的受保护数据的数量和类型通知有关当局，帮助企业保持遵守数据隐私法规（例如 GDPR）。

SOC 有哪些常见类型？

创建 SOC 时，组织有几种选择。最常见的 SOC 类别包括：

• 由使用它的组织拥有和运营的内部 SOC，或专有 SOC。内部 SOC 的优势可能在于更短的事件响应时间和量身定制的安全检测和响应能力，不过它们也可能比其他 SOC 的维护费用更高、资源更密集。
• 托管 SOC，或 SOC 即服务，允许组织将 SOC 责任外包给第三方安全供应商。大多数托管 SOC 属于以下两类之一：托管安全服务供应商 (MSSP) 和托管检测和响应 (MDR)。
• MSSP 是一种托管 SOC 服务，可以监控系统和数据。MSSP 的主要作用是在检测到恶意活动时提醒组织，具体通过对网络事件进行编目并检测异常情况来实现。
• MDR 是一种托管 SOC 服务，可以扩展 MSSP 的取证能力。除了跟踪网络活动和创建警报外，它还将调查潜在威胁、消除误报警报、提供高级分析和威胁情报，并帮助补救安全事件。

什么是网络运营中心 (NOC)？

网络运营中心（或 NOC）负责监督网络活动和威胁。NOC 团队负责监控一个组织的网络健康状况、预测并防止网络中断、防御攻击，并对各系统和软件进行日常维护检查。

NOC 和 SOC 不同，SOC 跟踪并缓解组织的整个基础结构范围的恶意活动，而 NOC 只关注网络安全和性能。

Cloudflare 是否提供 SOC 服务？

Cloudflare 安全运营中心即服务将检测和监控功能与关键安全技术相结合，比如网络应用程序防火墙 (WAF)、机器人管理解决方案以及 DDoS 攻击预防。企业可以通过将 SOC 的责任托付给 Cloudflare，从而保持对其基础结构的掌控、跟踪并缓解进入的威胁，并降低总安全成本。