安全运营中心(或 SOC)可以通过识别、调查威胁并进行补救来帮助企业避免遭到攻击。
阅读本文后,您将能够:
复制文章链接
安全运营中心 (SOC) 也称为信息安全运营中心 (ISOC),这是一个供安全专业人员进行监测、分析和缓解潜在网络威胁的专用设施。由于现代企业的分布式特性,“SOC”经常被用来描述执行这些功能的安全工程师和分析员团队。
虽然 SOC 的架构因组织而异,但它履行了几个关键的功能:
通常情况下,一个组织只依靠一个内部 SOC 进行威胁管理和修复,但大型企业可能会在不同国家维持多个 SOC(有时称全球安全运营中心,或 GSOC),或选择雇用第三方安全分析师和工程师小组。
一个 SOC 可以多种不同的方式配置,并可根据一个组织的需求和能力进行调整。一般来说,它的职责分为三部分:
资产盘点:为了保护企业免遭威胁并识别安全漏洞,SOC 需要全面了解系统、应用程序和数据,以及用于保护它们的安全工具。可以使用资产发现工具来执行盘点流程。
漏洞评估:为了衡量攻击的潜在影响,SOC 可以对一个组织的硬件和软件进行定期测试,并利用测试结果来更新其安全政策或制定事件应对计划。
预防性维护:一旦 SOC 确定了组织的基础结构的漏洞,它就可以采取措施以加强其安全态势。相关措施可能包括更新防火墙、维护允许列表和阻止列表、修补软件、以及完善安全协议和程序。
日志收集和分析:SOC 将收集整个组织的网络事件所产生的日志数据(如由防火墙、入侵预防和检测系统等记录的数据),然后分析这些日志,找出任何异常或可疑活动。根据组织基础结构的规模和复杂性,这可能是一个资源密集型的过程,可以通过一个自动工具来完成。
威胁监测:SOC 使用日志数据来创建可疑活动和其他入侵指标 (IOC) 警报。IOC 是数据中表明可能发生漏洞或其他恶意事件的异常现象 — 网络流量异常、系统文件意外变化、未经授权的应用程序使用、奇怪的 DNS 请求,或其他行为。
安全信息与事件管理 (SIEM):SOC 经常结合使用 SIEM 解决方案,以实现威胁保护和补救的自动化。SIEM 的常见功能包括:
事件响应与补救:攻击发生时,SOC 通常会采取几个步骤来缓解损害并恢复受影响的系统。相关步骤可能包括隔离受感染设备、删除被破坏的文件、运行反恶意软件的软件并进行根本原因调查。SOC 可以利用这些发现来改进现有的安全政策。
合规性报告:攻击发生后,SOC 将就被破坏的受保护数据的数量和类型通知有关当局,帮助企业保持遵守数据隐私法规(例如 GDPR)。
创建 SOC 时,组织有几种选择。最常见的 SOC 类别包括:
网络运营中心(或 NOC)负责监督网络活动和威胁。NOC 团队负责监控一个组织的网络健康状况、预测并防止网络中断、防御攻击,并对各系统和软件进行日常维护检查。
NOC 和 SOC 不同,SOC 跟踪并缓解组织的整个基础结构范围的恶意活动,而 NOC 只关注网络安全和性能。
Cloudflare 安全运营中心即服务将检测和监控功能与关键安全技术相结合,比如网络应用程序防火墙 (WAF)、机器人管理解决方案以及 DDoS 攻击预防。企业可以通过将 SOC 的责任托付给 Cloudflare,从而保持对其基础结构的掌控、跟踪并缓解进入的威胁,并降低总安全成本。