組織のインフラストラクチャ、ネットワーク、クラウド サービス、およびデバイスからのデータは、セキュリティ オペレーション センター (SOC) によって関連付けられます。 企業の全体的なセキュリティ体制を管理し、状況認識を提供することは、情報セキュリティ スペシャリストの共同グループである SOC の責任です。 セキュリティ オペレーション センターでのアナリストの仕事の詳細をご覧ください。 セキュリティ オペレーション センター (SOC) の防御戦略アプローチは、SOC フレームワークによって標準化されています。 サイバーセキュリティのリスクを最小限に抑え、運用を着実に改善するのに役立ちます。
セキュリティオペレーションセンター
SOC 活動の目標は、企業に対する実際の脅威と潜在的な脅威を認識、監視、追跡、分析、提示、対応することです。 組織内のネットワークおよびインフラストラクチャ セキュリティの日常的な管理は、セキュリティ オペレーション センター (SOC) チームの責任です。 セキュリティ インシデントと脅威を見つけて分析し、適切なアクションを実行することが、SOC チームの主な目標です。
組織のセキュリティ プラクティス、手順、およびセキュリティ インシデントへの対応は、SOC によって統合および調整されます。これは、社内で実行するか外部委託するかの主な利点です。 セキュリティ ポリシーと予防策の改善、脅威の迅速な検出、セキュリティの脅威に対するより迅速かつ効果的で手頃な価格の対応が、この典型的な成果です。 さらに、SOC はクライアントの信頼を高め、地域、国、および国際的なプライバシー規制への組織の準拠を合理化および強化することができます。
また、 BUSINESS SECURITY SYSTEM: 概要、種類、コスト
セキュリティ オペレーション センター (SOC) の求人
#1。 インシデント対応計画
SOC は、組織のインシデント対応計画の作成を担当します。これは、脅威またはインシデントが発生した場合の活動、役割、責任、およびインシデント対応の有効性を評価するための指標の概要を示しています。
#2。 現状維持
SOC は、最新のセキュリティ イノベーションとツール、およびソーシャル メディア、ビジネス ソース、ダーク Web から収集したサイバー攻撃とそれを実行するハッカーに関するニュースと詳細である最新の脅威インテリジェンスに遅れないようにしています。 .
#3。 定期テスト
SOC チームは、脆弱性評価、潜在的な危険に対する各リソースの脆弱性と対応するコストを特定する詳細な評価を実施します。 さらに、追加のシステムで特定の攻撃を模倣する侵入テストを実行します。 これらのテストの結果に基づいて、チームはアプリケーション、セキュリティ ガイドライン、ベスト プラクティス、およびインシデント対応計画を修正または強化します。
#4。 定期的なメンテナンスと準備
SOC は、ソフトウェアのパッチとアップグレードの適用、ファイアウォール、ホワイトリストとブラックリスト、セキュリティ ポリシー、手順の定期的な更新などの予防保守を実行して、セキュリティ ツールと対策の効率を最大化します。 また、SOC は、データ侵害、ランサムウェア攻撃、またはその他のサイバーセキュリティ インシデントが発生した場合にビジネスの継続性を確保するために、システム バックアップを作成したり、バックアップ ポリシーまたは手順の開発を支援したりする場合があります。
#5。 脅威の検出
SOC チームはシグナルをノイズから分離し、実際のサイバー脅威とハッカーのエクスプロイトの兆候を誤検知から分離してから、脅威を深刻度に応じて分類します。 人工知能 (AI) は、これらの手順を自動化し、データから「学習」することで疑わしいアクティビティを特定する能力を徐々に向上させる最新の SIEM ソリューションのコンポーネントです。
セキュリティ オペレーション センターの機能
- 管理と維持: セキュリティ ツールの更新とパッチが追跡され、処理されます。
- インフラストラクチャ、システム、デバイス、およびネットワークのイベント ログを監視して、異常または疑わしいアクティビティを探します。
- インテリジェンスの収集、および潜在的な脅威と攻撃の検出と防止。
- インシデントの分析と調査: イベントまたは脅威の原因を突き止め、それが企業システムにどの程度侵入し、損害を与えたかを判断します。
- 脅威または攻撃への対応: 脅威またはインシデントを効果的に処理および封じ込めるためのアプローチを調整します。
- 紛失または盗難にあったデータの回復、脆弱性への対処、アラート ツールの更新、および手順の再評価は、すべて回復と修復の一部です。
サイバー攻撃やその他のセキュリティ インシデントを集中的に監視、検出、調査、対応するために使用される施設は、セキュリティ オペレーション センター (SOC) として知られています。 セキュリティ オペレーション センター (SOC) は、内部のセキュリティ スタッフまたはマネージド セキュリティ サービス プロバイダー (MSSP) によって運営される物理的または仮想的な空間です。
セキュリティ オペレーション センターの種類
ほとんどの企業は、サイバーセキュリティを効果的に管理するには、従来の IT チームができる以上のことが必要であることを認識しています。 組織は、SOC を社内で構築するか、マネージド SOC プロバイダーと契約して、この拡大するニーズを満たすかを選択できます。
#1。 専用または自己管理
この戦略では、オンサイト施設と内部スタッフを利用します。 一元化された SOC である専用 SOC は、セキュリティだけでなく、インフラストラクチャと手順にも重点を置いたチームで構成されます。 組織の規模、リスク許容度、およびセキュリティ ニーズに応じて、専用 SOC の規模は異なります。
#2。 分散型 SOC
共同管理されたセキュリティ オペレーション センター (MSSP とも呼ばれます) は、管理されたセキュリティ サービス プロバイダーと協力するためにパートタイムまたはフルタイムで雇われた内部チーム メンバーによって運営されています。
#3。 マネージド SOC
この方法には、企業にすべての SOC サービスを提供する MSSP が含まれます。 Managed Detection and Response (MDR) パートナーは、追加のカテゴリです。
#4。 コマンド SOC
この戦略の助けを借りて、通常は専用の他のセキュリティ オペレーション センターが脅威情報とセキュリティ知識にアクセスできます。 セキュリティに関連するインテリジェンス関連の活動と手順にのみ参加します。
#5。 仮想 SOC
これは、会社の所有物に基づかない、献身的なセキュリティ チームです。 これは、物理的な SOC と同じ目的を果たしますが、リモートの担当者が必要です。 仮想 SOC (VSOC) 専用のインフラストラクチャや物理的な場所はありません。 これは、分散型セキュリティ テクノロジを使用して構築された Web ベースのポータルであり、リモートで作業するチームがイベントを監視し、脅威に対処できるようにします。
#6。 共同管理 SOC
共同管理の SOC モデルでは、外部スタッフとオンサイト監視ツールの両方が採用されています。 オンサイトとオフサイトのコンポーネントを組み合わせているため、この戦略はハイブリッド戦略と呼ばれることもあります。 これらのコンポーネントはさまざまな組織間で大きく異なる可能性があるため、共同管理は柔軟なオプションです。
セキュリティ オペレーション センターの利点
セキュリティ オペレーション センターの利点は次のとおりです。
- インシデントの手順と対応時間の強化。
- 侵害から検出までの MTTD (検出までの平均時間) ギャップの削減。
- 疑わしいアクティビティを継続的に分析および監視し、コラボレーションと効果的なコミュニケーションを実現します。
- ハードウェアとソフトウェアのリソースを組み合わせて、より包括的なセキュリティ戦略を作成します。
- 機密情報は、顧客と従業員の間でより自由に共有されます。
- セキュリティ操作に対する説明責任とコマンドの強化。
- ビジネスがサイバー犯罪を犯したとして告発された人々に対して法的措置を講じる場合は、データ チェーンの制御が必要です。
セキュリティオペレーションセンターアナリスト
サイバーセキュリティ攻撃への対応に欠かせないのは、セキュリティ オペレーション センター アナリスト (SOC アナリスト) です。 セキュリティ オペレーション センターのアナリストは、サイバー攻撃の防止と対応の重要性を認識している組織のビジネス継続性を確保する、最新のセキュリティ チームの重要なメンバーです。
セキュリティ オペレーション センターのアナリストは、企業のサーバーやコンピューター システムに対するサイバー関連の攻撃を発見して阻止する技術専門家です。 彼らは、脅威に対処するためのプロトコルを開発および実行し、そのような事態を阻止するために必要な変更を導入する必要があります。
- 脅威やその他のタスクに対する企業のインフラストラクチャの脆弱性を分析することは、この作業の一部です。
- サイバーセキュリティの新たな展開に遅れずについていく
- 情報セキュリティに関する潜在的な脅威と問題の調査と記録
- 新しいハードウェアとソフトウェアの安全性を評価して不要なリスクを軽減する
- 理想的には、懸念が生じる前に、災害に対する正式な復旧計画を作成します。
セキュリティ オペレーション センターのアナリストになる資格を得るにはどうすればよいですか?
大多数の雇用主は、SOC アナリストがコンピューター サイエンスまたはコンピューター エンジニアリングの学士号または準学士号を取得していること、およびネットワーキングまたは情報技術の役割における実際の経験から追加のスキルを持っていることを期待しています。
これらのスキルは次のとおりです。
- 優れたコミュニケーションスキル
- Linux、Windows、IDS、SIEM、CISSP、Splunk をしっかりと理解していること
- 情報セキュリティに関する十分な知識
- トラフィックを保護し、疑わしいアクティビティを検出することでネットワークを防御する可能性
- システム、ネットワーク、アプリケーションの脆弱性を特定するための加害テストの理解
- セキュリティ侵害の影響を阻止して軽減する
- コンピュータ フォレンジック用のセキュリティ情報を収集、調査、提示する
- マルウェアのリバース エンジニアリングには、ソフトウェア プログラムのパラメーターの読み取りと識別が含まれます。
SOC アナリストは、他のセキュリティ担当者とチームとして作業することがよくあります。 組織は、セキュリティ オペレーション センターのアナリストの意見を考慮する必要があります。 彼らの提案は、サイバーセキュリティを改善し、セキュリティ違反やその他の発生による損失のリスクを軽減することができます.
セキュリティ オペレーション センター アナリスト認定
SOC アナリストは、コンピューター エンジニアリング、コンピューター サイエンス、または関連分野の学士号を取得することに加えて、追加のトレーニングを頻繁に受けて、認定セキュリティ オペレーション センター アナリスト (CSA) ライセンスを取得してスキルを向上させます。
その他の関連する認定には、次のものがあります。
- 認定倫理的ハッカー(CEH)
- コンピューターハッキングフォレンジック調査員 (CHFI)
- EC-Council 認定セキュリティ アナリスト (ECSA)
- ライセンスペネトレーションテスター (LPT)
- CompTIAセキュリティ+
- CompTIAサイバーセキュリティアナリスト(CySA +)
セキュリティ運用アナリストの責任
組織内のネットワークおよびシステムの監視。 セキュリティ オペレーション センター アナリストの仕事は、組織の IT システムを常に監視することです。 これには、セキュリティ システム、アプリケーション、およびネットワークを使用した侵害または攻撃を示す可能性のある異常に注意を払うことが含まれます。
#1。 リアルタイムの脅威評価、識別、軽減
SOC アナリストは、チームと緊密に連携して、システムの問題点と、脅威が検出された後の修正方法を判断します。
#2。 インシデント対応と調査
法執行機関に通知する前に、必要に応じて、SOC アナリストはチームの他のメンバーと協力してインシデントに関する追加の調査を行います。
各インシデントを徹底的に調査した後、現在のサイバー脅威またはネットワークの脆弱性について学んだ新しい情報を報告し、可能であれば、更新をすぐに実装して将来のインシデントを防止します.
#3。 他のチーム メンバーと協力して、セキュリティ手順、ソリューション、ベスト プラクティスを実践する
ビジネスが安全かつ確実に運営され続けるために、SOC アナリストは他のチーム メンバーと協力して、適切なプロトコルが整備されていることを確認します。 これには、新しいシステムの導入と、必要に応じて、既に導入されているシステムの更新が含まれます。
#4。 最新のセキュリティ脅威に対応
SOC アナリストは、組織のセキュリティに対する最新のサイバー脅威について常に最新の状態を維持する必要があります。それには、新たなフィッシング詐欺について学習するか、どの悪者が現在ハッキング ツールを使用しているかを追跡する必要があります。 この情報により、ビジネスに問題が発生する前に、潜在的な問題に対して迅速に対応できます。
セキュリティ オペレーション センター アナリストの給与
セキュリティの専門家は、スタッフ メンバーが必要なトレーニングを受け、すべての会社の規則と規制に従うようにします。
これらのセキュリティ アナリストは、組織の内部 IT チームおよびビジネス管理者と協力して、職務の一環としてセキュリティの問題について話し合い、文書化します。 米国のセキュリティ アナリストは、年間平均 88,570 ドルを稼いでいます。 (リソース: Glassdoor)。
場所、会社、経験、教育、および役職は、収益の可能性に影響を与える変数のほんの一部です。
SOCアナリストのスキル
サイバートレンドに変化があるかもしれませんが、SOC アナリストは依然として多くの同じスキルを持っている必要があります。 SOC アナリストが会社に提供できるものを最大限に活用したい場合は、SOC アナリストがこれらの能力を持っていることを確認してください。
- プログラミングスキル
- コンピュータフォレンジック
- 倫理的なハッキング
- リバースエンジニアリング
- 危機管理
- 問題解決
- 批判的思考
- 効果的なコミュニケーション
セキュリティ オペレーション センターのフレームワーク
包括的なアーキテクチャによって概説される SOC フレームワークは、SOC のコンポーネントとそれらの相互作用を詳述します。 インシデントを監視および記録するためのシステム上に構築されたセキュリティ オペレーション センターのフレームワークを確立することが不可欠です。
SOC フレームワークは、SOC 機能を提供するコンポーネントと、それらがどのように相互に作用するかを詳述する全体的なアーキテクチャです。 別の言い方をすれば、SOC フレームワークは、セキュリティ イベントを追跡してログに記録する監視システムに基づいて構築する必要があります。
SOC フレームワークのコア原則
#1。 モニタリング
アクティビティの監視は、機能的なセキュリティ オペレーション センター フレームワークが提供できる最も基本的なサービスです。 当然のことながら、このような監視の目的は、違反が発生したか、現在進行中であるかを確認することです。 ただし、サイバーセキュリティの専門家は、その判断を下すために状況を認識している必要があります。 SIEM ツール、行動脅威分析、およびクラウド アクセス セキュリティ ブローカーは、監視に役立つ自動化されたツールとテクノロジの例です。 常にではありませんが、これらのツールは AI や機械学習技術を利用する場合があります。
#2。 分析
分析は、SOC が提供する次のサービスであるべきです。 分析の目的は、企業活動に基づく脆弱性または侵害が発生したかどうかを判断することです。 SOC アナリストは、調査機能の一部として監視システムから送信されたアラームとアラートを調べて、以前に確認された攻撃パターンまたは脆弱性の悪用と一致するかどうかを確認します。
#3。 インシデント対応と封じ込め
セキュリティ オペレーション センター フレームワークによって提供される次のサービスは、インシデント対応です。 これがどのように行われるかは、インシデントのタイプ、範囲、重大度、および SOC が内部のものかどうか、または企業がアラート通知以外の支援を必要とするアウトソーシング SOC プロバイダーとの契約を結んでいるかどうかによって異なります。
#4。 監査とログ
前述のように、SOC には重要な役割がありますが、しばしば無視されていますが、ロギングと監査において重要な役割を果たしています。それは、コンプライアンスを確認し、事後分析の一部として使用される可能性のあるセキュリティ インシデントへの対応を記録することです。 多くの SOC ツールには、コンプライアンスの専門家やサイバーセキュリティ アナリストが役立つと思われる、驚くほど多くのタイムスタンプ付きドキュメントが含まれています。
#5。 脅威ハンティング
SOC アナリストは、システムが正常に機能している場合でも、他の任務を遂行する必要があります。つまり、環境に重大なインシデントが発生していないことを意味します。 脅威インテリジェンス サービスをレビューして、外部の脅威を監視および評価します。複数のクライアントを持つサード パーティの場合は、クライアント間のデータをスキャンして分析し、攻撃と脆弱性のパターンを特定します。 内部または外部の SOC プロバイダーは、積極的に脅威を検索することで、攻撃者の一歩先を行くことができます。 また、攻撃が発生した場合に予防措置を講じることもできます。
最後に、適切に設計されたセキュリティ オペレーション センターのフレームワークは、アラームやアラートを監視するだけでなく、それ以上の処理ができる必要があります。 SOC が正しく設定および管理されていれば、インシデントの封じ込めに役立ちます。 さらに、インシデントの事後分析に対する貴重な洞察を提供し、予防的なセキュリティを提供できます。
一般的な SOC フレームワーク
#1。 NIST
米国国立標準技術研究所 (NIST) は、NIST サイバーセキュリティ フレームワークを公開しています。このフレームワークは、脅威のライフサイクル管理に関する標準とガイドラインを提供し、組織がセキュリティ計画を策定し、主要業績評価指標を最適化するのを支援します。 以下は、NIST が推奨する XNUMX つのベスト プラクティスです。
- 識別する
- 守ります
- 検出
- 反応します
- 回復する
#2。 MITRE ATT&CK
Adversarial Tactics, Techniques, and Common Knowledge は、このフレーズの略語です。 マイター コーポレーションによって開発され、2013 年に公開されたこのフレームワークは、敵対的行動を分析して対応と新たな防御戦略を開発することに重点を置いています。 脅威インテリジェンス、脅威の検出と分析、レッド チーム、敵対者のエミュレーション、エンジニアリングと評価に役立ちます。
#3。 サイバーキルチェーン
ロッキード マーチンによって作成されたこのフレームワークは、敵の戦術と弱点に応じて攻撃を組織するという軍事的な考えに基づいています。 キル チェーンは、典型的な攻撃者の行動に基づいて行動することで、基本的なアーキタイプとして機能します。 サイバー キル チェーンは、次の手順を含む段階的な戦略です。
- 偵察
- 侵入
- 搾取
- 権限昇格
- 横方向の動き
- 難読化
- サービス拒否
- exfiltration
#4。 統一されたキル チェーン
敵対者とランク付けのリスクをより完全に理解する方法を提供するために、このフレームワークは MITRE ATT&CK と Cyber Kill Chain フレームワークを組み合わせています。 各フレームワークの長所を利用して、一般的なギャップを埋めるのに役立ちます。 18 のフェーズを追加することで、このフレームワークは攻撃チェーンを拡張します。
セキュリティ オペレーション センターの機能
脅威を特定し、それらに対応し、さらなる被害を防ぐ組織の能力は、すべてのサイバーセキュリティ技術と運用を統合および調整するセキュリティ オペレーション センターによって強化されます。
NOC と SOC とは何ですか?
セキュリティ オペレーション センター (SOC) がオンラインの脅威から企業を守る役割を担っているのに対し、ネットワーク オペレーション センター (NOC) は企業のコンピューター システムの技術インフラストラクチャを維持する役割を担っています。
効果的なネットワーク パフォーマンスはネットワーク オペレーション センター (NOC) によって維持され、脅威とサイバー攻撃はセキュリティ オペレーション センター (SOC) によって特定、調査、対処されます。
SOC と SIEM の違いは何ですか?
SIEM と SOC の主な違いは、前者がさまざまなソースからデータを収集して関連付けるのに対し、後者はさまざまなソースからデータを収集して SIEM に送信することです。
セキュリティにおける NOC の意味
ネットワーク オペレーション センター (NOC) は、コンピューター、電気通信、または衛星ネットワーク システムが XNUMX 時間体制で監視および管理される集中型の場所です。 ネットワークに障害が発生した場合、防御の最前線として機能します。
XNUMX種類のSOCとは?
- 共同管理 SOC
- 仮想 SOC
- 専用SOC
TopSOCとは?
- 北極ウルフネットワーク
- パロアルトネットワーク
- Netsurion
- IBM
- CISCO
まとめ
企業はサイバーセキュリティをより重視しているため、セキュリティ オペレーション センター (SOC) は重要です。 ビジネスに対するサイバー脅威からの防御を担当する主なエンティティは、SOC です。 すべてのサイバーセキュリティの運用とテクノロジを XNUMX つの屋根の下に置くことで、セキュリティ オペレーション センターは、脅威の検出、対応、および防止に対する組織の能力を強化します。
関連記事
- インシデント管理: プロセスとベスト プラクティスのガイド
- サイバー脅威インテリジェンス: 意味、ツール、アナリスト、給与
- CYBERSECURITY RISK MANAGEMENT: フレームワーク、計画およびサービス
- コールセンターの仕事内容: 完全ガイド(
- コールセンター: 意味、サービス、ソフトウェア、トレーニング
参考文献
