什麼是安全作業中心 (SOC)?
安全作業中心 (SOC) 是負責監控和管理企業安全狀況的集中化單位。它通常由安全專業人員組成,主要負責識別、回應和緩解安全威脅。簡而言之,SOC 團隊的職責在於確保企業能維持全天候的安全營運。
SOC 有什麼作用?
安全作業中心 (SOC) 的建立是為了促進安全人員之間的協作。除了簡化安全事件處理程序以外,SOC 還能協助分析人員更有效率地分類和解決各種安全事件且更具成效。SOC 的目標是全面掌握企業的威脅形勢,不僅包括各種類型的端點、伺服器和軟體內部部署,還包括第三方服務和這些資產之間的流量。
SOC 的關鍵功能
網路安全事件通常會由具備所有必要技能的 SOC 員工進行識別和回應。該團隊還與其他部門或團隊合作,與其他相關各方分享與事件有關的資訊。一般來說,安全作業中心的營運全年無休,員工會以輪班方式作業以緩解威脅並管理日誌活動。SOC 有時也會聘用第三方供應商為企業提供服務。
SOC 的關鍵功能包括:
- 監控和管理企業的安全狀況。
- 制定和實施安全政策和程序。
- 為員工提供安全意識培訓。
- 回應安全事件。
- 分析日誌、網路流量和其他數據來源以識別潛在的威脅和弱點。
- 執行弱點評估。
- 提供威脅情報報告。
- 設計和實施安全解決方案。
SOC 團隊也會提供事件回應服務,例如鑑識分析、惡意軟體分析和弱點評估。此外,他們還可以提供各種威脅情報服務,例如威脅情報報告和威脅捕捉。
安全事件處理需要這些關鍵功能,而安全作業團隊通常會使用已將其分析人員經驗層級列入考量的分層結構來提供這些功能:
第 1 層級 – 分類
分類是 SOC 的第 1 層級。第 1 層級人員負責將傳入的安全事件分類並判斷事件的嚴重性。這包括識別事件來源、判斷事件範圍以及評估事件影響。
第 1 層級人員還負責提供初步回應和遏止措施,並在必要時將事件升級到更高層級。安全分析人員通常會花費大部分的時間來處理這些工作。
第 1 層級的分析人員通常是經驗最少的分析人員,其主要職能是監控可疑活動的事件日誌。當他們認為需要進一步調查時,他們會收集儘可能多的資訊,並將事件呈報給第 2 層級。
第 2 層級 – 調查
調查是 SOC 的第 2 層級。第 2 層級人員負責調查安全事件並判斷事件的根本原因。這包括分析日誌、網路流量和其他數據來源以識別事件的來源。第 2 層級人員也負責提供詳細的事件報告和補救建議。
第 3 層級 – 威脅捕捉
威脅捕捉是 SOC 的第 3 層級。第 3 層人員負責主動在企業環境中捕捉威脅和弱點。這包括分析日誌、網路流量和其他數據來源以識別潛在的威脅和弱點。
第 3 層級人員也負責提供詳細的威脅情報報告和補救建議。經驗最為豐富的分析人員可支援複雜的事件回應,並花費所有剩餘的時間查看鑑識和遙測數據中可能未被偵測軟體識別為可疑的威脅。公司平均花費在威脅捕捉活動上的時間最少,因為第 1 層級和第 2 層級耗用非常多的分析人員資源。
SOC 的結構如何?
對於大多數企業而言,網路安全性已從最初作為 IT 團隊的兼職工作,逐漸演變成為一個主要優先事項。一些安全作業團隊仍然作為 IT 的一部分運作,而其他安全作業團隊則發展成為獨立的部門。
SOC 架構是 SOC 的整體設計與結構。它通常由四個主要部分組成:
- SOC 監控和管理企業的安全狀況。
- 安全營運經理 (SOM) 管理 SOC 的日常營運。
- 安全分析人員監控和分析日誌、網路流量和其他數據來源以識別潛在的威脅和弱點。
- 安全工程師/架構師設計和實作安全解決方案以保護企業的環境。
SOC 可以作為基礎結構和營運團隊的一部分、作為安全小組的一部分、作為網路作業中心 (NOC) 的一部分、直屬於資訊長或資訊安全長,或作為外包職務 (全職或兼職) 運作。
SOC 軸輻式架構
SOC 軸輻式架構是構成 SOC 的模型。在此模型中,SOC 是由一個中心點和多個軸輻所組成。中心點負責管理企業的整體安全狀況,而軸輻則負責監控和管理企業安全狀況的特定區域。
該模型具有更大的靈活性和可擴充性,因為企業可以視需要新增或移除軸輻。此外,該中心還可以對企業的安全營運進行集中監控和協調。
SOC 的關鍵角色和責任
SOC 的安全營運人員配置和企業結構通常由安全營運經理、安全分析人員、事件回應人員、安全工程師/架構師和安全調查員組成:
- SOC 經理:負責管理 SOC 的日常營運,包括制定和實施安全政策和程序,以及為員工提供安全意識培訓。
- 進階安全分析人員:負責主動在企業環境中捕捉威脅和弱點。這包括分析日誌、網路流量和其他數據來源以識別潛在的威脅和弱點。
- 事件回應者:負責回應各種安全事件,包括識別事件來源、判斷事件範圍以及評估事件影響。
- 安全工程師/架構師:負責設計和實作安全解決方案以保護企業的環境。這包括設計和實作網路安全解決方案,例如防火牆、入侵偵測系統和防毒軟體。
- 安全調查員:負責調查安全事件並判斷事件的根本原因。這包括分析日誌、網路流量和其他數據來源以識別事件的來源。
了解有關 SOC 角色和責任的更多資訊,這是安全營運成功的關鍵。
SOC 即服務 (SOCaaS)
SOCaaS 是一種安全模型,可讓第三方廠商在訂閱的基礎上操作和維護完全託管的 SOC。除了傳統內部 SOC 執行的所有安全功能以外,該服務還包括網路監控、日誌管理、威脅偵測和情報、事件調查和回應、報告,以及風險和合規性。廠商所承擔的責任還包括啟用這些服務所需的所有人員、程序和技術,並提供全天候的支援。
了解有關訂閱式 SOC 即服務交付模型的更多資訊。
SOC 中的 SIEM 解決方案
安全資訊和事件管理 (SIEM) 解決方案是一種協助企業即時監控和分析其安全數據的安全解決方案。SIEM 解決方案會從多個來源收集數據,包括網路裝置、應用程式和使用者活動,並使用分析來偵測潛在威脅。
SIEM 解決方案使企業能夠快速回應安全事件並採取修正動作。對於許多 SOC 而言,這是一種核心監控、偵測和回應技術,用於監控和彙總網路上各種軟體和硬體的警示和遙測數據,並分析這些數據以找出潛在威脅。
探索 SIEM 解決方案如何與 SOC 團隊結合以識別潛在的安全問題。
安全作業中心最佳實務
SOC 團隊的主要重點是實作而不是制定安全策略。這包括部署保護措施以回應事件並分析後果。SOC 團隊會運用科技來進行數據收集、端點監控和弱點偵測。同時致力於確保法規遵循並保護敏感數據。
在開始任何工作之前,您需要制定一個與業務目標一致、定義明確的安全策略。在一切就緒之後,就必須建立和維護必要的基礎結構。這需要廣泛的工具、特性和功能。
以下是建立安全企業的最佳 SOC 實務:
- 建立 SOC:建立一個負責監控和管理企業安全狀況的集中化單位。
- 制定安全政策和程序:制定並實施安全政策和程序,以確保企業遵循適用的法律和法規。
- 實作安全解決方案:實作安全解決方案,例如防火牆、入侵偵測系統和防毒軟體以保護企業的環境。
- 監控和分析日誌:監控和分析日誌、網路流量和其他數據來源以識別潛在的威脅和弱點。
- 提供安全意識培訓:為員工提供安全意識培訓,確保他們了解企業的安全政策和程序。
- 執行弱點評估:執行弱點評估以識別企業環境中的潛在弱點。
- 回應安全事件:即時回應安全事件,將事件造成的影響降到最低。
SOC 會使用哪些工具?
SOC 會使用各種工具進行防禦、事件記錄、自動化、偵測、調查、協調和回應。許多 SOC 團隊對於其基礎結構的不同部分會備有多組孤立的工具。Ovum 和 ESG 等分析公司的研究發現,大多數企業會在其 SOC 中使用超過 25 個獨立工具。這些工具可能包含下列各項:
- SIEM
- 網路入侵偵測系統 (NIDS)
- 網路入侵防禦系統 (NIPS)
- 安全協調、自動化和回應 (SOAR)
- 安全分析平台
- 端點偵測與回應 (EDR)
- 弱點管理解決方案
- 數據遺失防護 (DLP)
- 身分和存取管理 (IAM)
- 防火牆
XDR 是一類新型偵測和回應工具,可整合來自端點、網路和雲端的數據並建立相互之間的關聯性。XDR 取代安全作業團隊所依賴的數個關鍵工具,其目的在於提高安全可視性、效率和效能。有關 XDR 如何最佳化安全作業的詳細資訊,請參閱 Cortex XDR。
安全作業中心 (SOC) 常見問答集
問:為何 SOC 如此重要?
答:由於需要防止重大網路事件、減少威脅以及隨後採用集中式安全作業,安全作業中心會提供更全面的方法來偵測、預防和緩解攻擊。專用的 SOC 可提供持續保護和不間斷監控以偵測異常活動。SOC 還可以透過分析和建模提供主動威脅防禦和捕捉。擁有超越四種分析人員層級的全方位安全團隊 (第 1 層級:分類專家;第 2 層級:事件回應者,第 3 層級:威脅捕捉專家,第 4 層級:SOC 經理) 可提供更廣泛且更深入的涵蓋範圍。這些角色包括弱點管理員、威脅情報、惡意軟體和鑑識分析人員等職稱。
「安全作業中心 (SOC) 代表企業安全策略的企業層面。它結合各種程序、技術和人員來管理和增強企業的整體安全狀況。此一目標通常不能透過單一實體或系統來達成,而是必須透過複雜的結構來完成。它可以建立情境感知、緩解暴露的風險,並有助於滿足法規要求。此外,SOC 還提供監管和合規性作為人們營運的架構,並根據該架構制定各種程序和技術。」– 安全作業中心:系統研究與開放挑戰
問:如何改善我的 SOC?
答:企業需要參酌現代化攻擊劇本,其中資金充足的攻擊者會針對機器學習、自動化和人工智慧等新工具進行投資。傳統 SOC 環境的挑戰包括:
- 欠缺可視性和脈絡。
- 調查複雜度增加。
- 安全控制所產生的大量低真實性警示造成了警示麻痺和「雜訊」。
- 缺乏系統互通性。
- 缺乏自動化和協調。
- 無法收集、處理及脈絡化威脅情報數據。
投資於能夠整合大量脫節、孤立的工具、改善 MTTR 和 MTTI 並減輕分析人員倦怠的解決方案,是眾所周知能夠有效防禦現今威脅的途徑。
問:SOC 與 SIEM 有何關係?
答:SOC 通常會在一天內收到大量安全警示,其中有許多是低真實性的警示,這會導致安全分析人員因誤判 (即錯誤地指出發生惡意活動的警示) 而疲於奔命。因此,警示的數量遠遠超過大多數安全團隊進行有效管理的能力,其中許多警示並未被調查。SIEM 解決方案的目的在於減輕 SOC 分析人員的部分負擔。儘管 SIEM 並不是 SOC 的必要條件,但是兩者可共同保護內部資源。