什么是安全運(yùn)營(yíng)中心工具?了解SOC團(tuán)隊(duì)的角色和職責(zé)
      
                                    
                                
      
                                
      
                                    
      什么是安全運(yùn)營(yíng)中心?安全運(yùn)營(yíng)中心,也稱(chēng)為 SOC,是組織內(nèi)的集中式安全中心,負(fù)責(zé)持續(xù)監(jiān)控組織的安全環(huán)境,例如安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、應(yīng)用程序、公司設(shè)備以及任何其他與之交互的技術(shù)或服務(wù)該組織。除了對(duì)安全威脅進(jìn)行持續(xù)監(jiān)控、威脅分析和補(bǔ)救之外,安全運(yùn)營(yíng)中心還負(fù)責(zé)改進(jìn)現(xiàn)有的安全計(jì)劃,以確保組織的安全態(tài)勢(shì)盡可能穩(wěn)健和強(qiáng)化。
      

      什么是安全運(yùn)營(yíng)中心工具?了解SOC團(tuán)隊(duì)的角色和職責(zé)-南華中天
      

      為了滿足這些計(jì)劃,安全運(yùn)營(yíng)中心不斷地從跨越整個(gè)組織的一系列數(shù)據(jù)源中獲取和記錄數(shù)據(jù),提供安全運(yùn)營(yíng)團(tuán)隊(duì)可用于實(shí)時(shí)安全分析的實(shí)時(shí)安全數(shù)據(jù)。在此過(guò)程中,SOC 團(tuán)隊(duì)將全天候觀察、分析和修復(fù)潛在的安全威脅,并將關(guān)鍵的安全威脅信息傳遞給最高層領(lǐng)導(dǎo)。
      

      安全運(yùn)營(yíng)中心如何工作?
      

      成功的安全運(yùn)營(yíng)中心的關(guān)鍵組成部分之一是使用安全信息和事件管理系統(tǒng),也稱(chēng)為 SIEM。安全信息和事件管理系統(tǒng)旨在從服務(wù)中獲取實(shí)時(shí)數(shù)據(jù),這些服務(wù)從組織網(wǎng)絡(luò)中的一系列設(shè)備輪詢(xún)關(guān)鍵安全數(shù)據(jù)。從 SIEM 收集的數(shù)據(jù)可以以多種方式使用。例如,SIEM 收集的可疑數(shù)據(jù)可用于生成可疑或異常事件的警報(bào)。
      

      SIEM 用于將安全相關(guān)數(shù)據(jù)匯集到漏洞評(píng)估解決方案中,例如入侵防御系統(tǒng) (IPS)、入侵檢測(cè)系統(tǒng) (IDS)、安全特定數(shù)據(jù)庫(kù)、數(shù)據(jù)倉(cāng)庫(kù)和威脅情報(bào)平臺(tái) (TIP),用于進(jìn)一步執(zhí)行數(shù)據(jù)的安全操作。
      

      安全運(yùn)營(yíng)中心的好處
      

      擁有 SOC 的主要好處之一是組織從該安全計(jì)劃中獲得的增強(qiáng)的安全態(tài)勢(shì)。投資于安全運(yùn)營(yíng)中心的組織受益于對(duì)其整個(gè)組織的持續(xù)監(jiān)控,24/7 全天候收集有關(guān)其網(wǎng)絡(luò)、設(shè)備和應(yīng)用程序的實(shí)時(shí)數(shù)據(jù)。這極大地減少了組織從事件到響應(yīng)的時(shí)間,從而大大減輕了攻擊的潛在損害。采用強(qiáng)大 SOC 模型的組織更有可能及早發(fā)現(xiàn)惡意攻擊并減少潛在網(wǎng)絡(luò)安全攻擊的損害。
      

      什么是安全運(yùn)營(yíng)中心工具?了解SOC團(tuán)隊(duì)的角色和職責(zé)-南華中天
      

      安全運(yùn)營(yíng)中心的挑戰(zhàn)
      

      安全運(yùn)營(yíng)中心面臨兩大障礙:人員短缺和技能短缺。
      

        

      • 人員短缺:在當(dāng)今充滿活力的就業(yè)市場(chǎng)中,組織難以招聘和留住頂尖人才。在安全領(lǐng)域尤其如此。今年年初有近 500,000 個(gè)安全職位空缺,而且沒(méi)有足夠的合格候選人來(lái)填補(bǔ)這些職位,安全團(tuán)隊(duì)繼續(xù)人手不足和過(guò)度使用。
        • 

      • 技能短缺:安全行業(yè)也受到技能短缺的嚴(yán)重影響。當(dāng)人員配備有限時(shí),組織可以接觸到不太合格的候選人。這意味著雇主的任務(wù)是在內(nèi)部提高員工的技能或依靠現(xiàn)有員工(有時(shí)來(lái)自外圍部門(mén))承擔(dān)額外的工作職責(zé)。
        • 

      

      什么是安全運(yùn)營(yíng)中心工具?
      

      安全運(yùn)營(yíng)中心充當(dāng)當(dāng)今依賴(lài)技術(shù)的現(xiàn)代組織的威脅識(shí)別和遏制策略。威脅遏制依賴(lài)于一系列安全應(yīng)用程序、服務(wù)和工具來(lái)降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
      

      每個(gè)安全運(yùn)營(yíng)中心在他們選擇用來(lái)強(qiáng)化其安全環(huán)境的安全工具方面都是獨(dú)一無(wú)二的。但是,有少數(shù)安全應(yīng)用程序、服務(wù)和工具在大多數(shù)安全運(yùn)營(yíng)中心中都很常見(jiàn)。
      

      行為監(jiān)控系統(tǒng)
      

      行為監(jiān)控是任何現(xiàn)代安全運(yùn)營(yíng)中心的標(biāo)準(zhǔn)做法,是監(jiān)控各種組織屬性的過(guò)程,目的是發(fā)現(xiàn)可能表明存在安全威脅的異常情況。
      

      什么是安全運(yùn)營(yíng)中心工具?了解SOC團(tuán)隊(duì)的角色和職責(zé)-南華中天
      

      行為監(jiān)控工具將分析的常見(jiàn)屬性是:
      

        

      • 網(wǎng)絡(luò)活動(dòng)
        • 

      • 可疑下載
        • 

      • 端點(diǎn)重新啟動(dòng)
        • 

      • 違反政策
        • 

      • 評(píng)估入站/出站流量的地理位置
        • 

      • 錯(cuò)誤信息
        • 

      

      端點(diǎn)監(jiān)控系統(tǒng)
      

      用戶(hù)端點(diǎn)是當(dāng)今網(wǎng)絡(luò)安全攻擊中最容易受到攻擊的目標(biāo)之一。不幸的是,用戶(hù)很容易打開(kāi)惡意電子郵件或成為社會(huì)工程攻擊的受害者。主動(dòng)端點(diǎn)監(jiān)控在當(dāng)今安全運(yùn)營(yíng)中心的重要性列表中居高不下。
      

      SIEM(安全信息和事件管理)
      

      安全信息和事件管理系統(tǒng) (SIEM) 的任務(wù)是從各種安全應(yīng)用程序、服務(wù)和工具收集實(shí)時(shí)安全數(shù)據(jù),并為可疑活動(dòng)生成警報(bào)。SIEM 是安全運(yùn)營(yíng)中心中最重要的工具之一,因?yàn)樗洚?dāng)中央數(shù)據(jù)收集中心,幾乎所有與安全相關(guān)的決策都依賴(lài)于該中心。
      

      入侵檢測(cè)系統(tǒng) (IDS)
      

      入侵檢測(cè)系統(tǒng)或簡(jiǎn)稱(chēng) IDS 是安全運(yùn)營(yíng)中心的另一個(gè)關(guān)鍵組件。IDS 的任務(wù)是監(jiān)控流入和流出網(wǎng)絡(luò)的數(shù)據(jù)。它的作用是識(shí)別和標(biāo)記在組織網(wǎng)絡(luò)中傳播的潛在安全威脅。
      

      什么是安全運(yùn)營(yíng)中心工具?了解SOC團(tuán)隊(duì)的角色和職責(zé)-南華中天
      

      入侵保護(hù)系統(tǒng) (IPS)
      

      入侵保護(hù)系統(tǒng)(或簡(jiǎn)稱(chēng) IPS)與 IDS 類(lèi)似,因?yàn)樗淖饔檬蔷徑馔ㄟ^(guò)組織網(wǎng)絡(luò)進(jìn)行的威脅。然而,與 IDS 不同,其中可疑數(shù)據(jù)包被識(shí)別并標(biāo)記以供安全運(yùn)營(yíng)團(tuán)隊(duì)采取進(jìn)一步行動(dòng),IPS 將實(shí)時(shí)識(shí)別并從網(wǎng)絡(luò)中刪除可疑數(shù)據(jù)包。
      

      了解 SOC 團(tuán)隊(duì)的角色和職責(zé)
      

      當(dāng)今安全運(yùn)營(yíng)團(tuán)隊(duì)的結(jié)構(gòu)對(duì)于任何組織的成功都至關(guān)重要。安全運(yùn)營(yíng)團(tuán)隊(duì)中的個(gè)人不僅需要接受適當(dāng)?shù)呐嘤?xùn),而且整個(gè)團(tuán)隊(duì)必須以和諧的方式運(yùn)作,以確保其組織的安全性和完整性。
      

        

      • 首席信息安全官 (CISO):首席信息官或 CISO 是 C-Suite 職位,其任務(wù)是就影響整個(gè)公司的安全計(jì)劃做出高層決策。
        • 

      

      這些人將制定與安全相關(guān)的戰(zhàn)略和行動(dòng),這些戰(zhàn)略和行動(dòng)將滲透到安全運(yùn)營(yíng)中心的領(lǐng)導(dǎo)層,例如事件響應(yīng)主管和 SOC 經(jīng)理,以確保他們?cè)诎踩\(yùn)營(yíng)和威脅預(yù)防運(yùn)營(yíng)方面的方法一致。
      

        

      • 高級(jí)安全經(jīng)理:高級(jí)安全經(jīng)理的任務(wù)是監(jiān)督其 SOC 團(tuán)隊(duì)的所有操作,并就團(tuán)隊(duì)在發(fā)生嚴(yán)重安全威脅時(shí)應(yīng)如何操作和響應(yīng)提供高級(jí)指令。高級(jí)安全經(jīng)理還負(fù)責(zé)與首席信息安全官 (CISO) 溝通指導(dǎo),以傳遞有關(guān)嚴(yán)重安全問(wèn)題的信息。
        • 

      • 事件響應(yīng)者:事件響應(yīng)者負(fù)責(zé)配置和管理安全監(jiān)控工具以及報(bào)告已識(shí)別的網(wǎng)絡(luò)威脅。該角色負(fù)責(zé)監(jiān)督數(shù)百個(gè)日常安全威脅,并負(fù)責(zé)就如何處理潛在的安全威脅做出實(shí)時(shí)決策。
        • 

      • SOC分析師:SOC 分析師的任務(wù)是為 L2/L3 安全分析師監(jiān)控安全事件和分類(lèi)警報(bào)。他們將調(diào)查所有可疑活動(dòng)并響應(yīng)警報(bào)。
        • 

      

      什么是安全運(yùn)營(yíng)中心工具?了解SOC團(tuán)隊(duì)的角色和職責(zé)-南華中天
      

      VMware 如何為安全運(yùn)營(yíng)中心賦能?
      

      VMware 提供了一套安全解決方案來(lái)實(shí)現(xiàn)您的安全運(yùn)營(yíng)中心的現(xiàn)代化。借助 VMware,您可以自信、快速、準(zhǔn)確地?cái)U(kuò)展您的響應(yīng)。VMware 通過(guò)同類(lèi)最佳的平臺(tái)提供開(kāi)箱即用的運(yùn)營(yíng)信心并縮短解決問(wèn)題的時(shí)間。