来自组织的基础设施、网络、云服务和设备的数据由安全运营中心 (SOC) 关联。 管理公司的整体安全态势并提供态势感知是 SOC 的职责,SOC 是信息安全专家的合作小组。 详细了解安全运营中心的分析师工作。 安全运营中心 (SOC) 的防御策略方法由 SOC 框架标准化。 它有助于最大限度地减少网络安全风险并稳步改善运营。
安全运营中心
SOC 活动的目标是识别、监控、跟踪、分析、呈现和响应对公司的实际和潜在威胁。 组织内网络和基础设施安全的日常管理是安全运营中心 (SOC) 团队的职责。 查找安全事件和威胁,对其进行分析,然后采取适当的行动是 SOC 团队的主要目标。
组织的安全实践、程序和对安全事件的响应由 SOC 统一和协调,这是在内部运行或外包 SOC 的主要优势。 改进的安全策略和预防措施、更快的威胁检测以及对安全威胁的更快、更有效和更实惠的响应是这方面的典型结果。 此外,SOC 可以增强客户信心并简化和加强组织对区域、国家和国际隐私法规的遵守。
另请参阅: 商业安全系统:它的全部内容、类型和成本
安全运营中心 (SOC) 职位
#1。 事件响应计划
SOC 负责制定组织的事件响应计划,其中概述了在发生威胁或事件时的活动、角色和责任,以及评估任何事件响应有效性的指标。
#2。 保持最新
SOC 及时了解最新的安全创新和工具,以及最新的威胁情报,即从社交媒体、商业资源和暗网收集的有关网络攻击和实施攻击的黑客的新闻和详细信息.
#3。 定期测试
SOC 团队进行漏洞评估和深入评估,以查明每种资源对潜在危险的敏感性以及相应的成本。 此外,它还执行模拟对其他系统的特定攻击的渗透测试。 根据这些测试的结果,该团队纠正或增强应用程序、安全指南、最佳实践和事件响应计划。
#4。 日常维护和准备
SOC 执行预防性维护,例如应用软件补丁和升级以及定期更新防火墙、白名单和黑名单、安全策略和程序,以最大限度地提高现有安全工具和措施的效率。 SOC 还可以创建系统备份或协助制定备份策略或程序,以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。
#5。 威胁检测
SOC 团队将信号与噪音分开,将真正的网络威胁和黑客利用的迹象与误报分开,然后根据威胁的严重性对威胁进行分类。 人工智能 (AI) 是当代 SIEM 解决方案的一个组成部分,它可以自动执行这些程序,并通过从数据中“学习”来逐渐改进识别可疑活动的能力。
安全运营中心的职能
- 管理和维护:跟踪和处理安全工具的更新和补丁。
- 监控基础设施、系统、设备和网络的事件日志,以查找异常或可疑活动。
- 情报收集,以及检测和预防潜在威胁和攻击。
- 事件分析和调查:找出事件或威胁的原因,并确定它对公司系统的渗透和破坏程度。
- 威胁或攻击响应:协调有效处理和遏制威胁或事件的方法。
- 恢复丢失或被盗的数据、解决漏洞、更新警报工具和重新评估程序都是恢复和补救的一部分。
用于集中监控、检测、调查和应对网络攻击和其他安全事件的机构称为安全运营中心 (SOC)。 安全运营中心 (SOC) 可以是由内部安全人员或托管安全服务提供商 (MSSP) 运行的物理或虚拟空间。
安全运营中心的类型
大多数企业发现,有效管理网络安全需要的远远超过其传统 IT 团队的能力。 组织可以选择在内部构建 SOC 或与托管 SOC 提供商签约以满足这种不断扩大的需求。
#1。 专用或自我管理
该策略利用了现场设施和内部员工。 专用 SOC 是集中式 SOC,由一个专注于安全以及基础设施和程序的团队组成。 根据组织的规模、风险承受能力和安全需求,专用 SOC 的规模各不相同。
#2。 分布式SOC
共同管理的安全运营中心,也称为 MSSP,由一名内部团队成员运营,该成员以兼职或全职方式受雇与托管安全服务提供商一起工作。
#3。 托管SOC
此方法涉及 MSSP 为公司提供所有 SOC 服务。 托管检测和响应 (MDR) 合作伙伴是一个额外的类别。
#4。 命令SOC
借助该策略,通常专门负责的其他安全运营中心可以访问威胁信息和安全知识。 它只参与与安全有关的情报相关活动和程序。
#5。 虚拟SOC
这是一支忠诚的安全团队,不以公司财产为基础。 它的用途与物理 SOC 相同,但需要远程人员。 虚拟 SOC (VSOC) 没有专用的基础设施或物理位置。 它是一个基于 Web 的门户网站,使用分散式安全技术构建,使团队能够远程工作以监控事件和应对威胁。
#6。 共同管理的 SOC
共同管理的 SOC 模型采用外部人员和现场监控工具。 由于它结合了现场和非现场组件,因此该策略有时也称为混合策略。 共同管理是一种灵活的选择,因为这些组成部分在不同组织之间可能会有很大差异。
安全运营中心的好处
以下是安全运营中心的优势
- 增强了事件的程序和响应时间。
- 减少妥协时间和检测时间之间的 MTTD(平均检测时间)差距。
- 分析和监控可疑活动持续协作和有效沟通。
- 结合硬件和软件资源以创建更全面的安全策略。
- 客户和员工可以更自由地共享敏感信息。
- 加强对安全操作的问责制和指挥。
- 如果企业打算对那些被指控犯有网络犯罪的人采取法律行动,则数据控制链是必要的。
安全运营中心分析师
安全运营中心分析师或 SOC 分析师扮演响应网络安全攻击的重要角色。 安全运营中心分析师是现代安全团队的重要成员,该团队确保认识到预防和响应网络攻击重要性的组织的业务连续性。
安全运营中心分析师是一名技术专家,负责发现和阻止对公司服务器和计算机系统的网络相关攻击。 他们制定并执行处理威胁的协议,并且必须进行必要的更改以阻止此类事件的发生。
- 分析公司基础设施对威胁和其他任务的敏感性是这项工作的一部分。
- 跟上网络安全的新发展
- 检查和记录信息安全的潜在威胁和问题
- 评估新硬件和软件的安全性以减少不必要的风险
- 理想情况下,在出现问题之前制定正式的灾难恢复计划。
我如何有资格成为安全运营中心分析师?
大多数雇主希望 SOC 分析师持有计算机科学或计算机工程学士学位或副学士学位,以及网络或信息技术角色的实际经验中的其他技能。
这些技能包括:
- 优秀的沟通技巧
- 牢牢掌握 Linux、Windows、IDS、SIEM、CISSP 和 Splunk
- 全面的信息安全知识
- 通过保护流量和检测可疑活动来保护网络的可能性
- 了解犯罪测试以识别系统、网络和应用程序的漏洞
- 停止并减轻安全漏洞的影响
- 为计算机取证收集、检查和呈现安全信息
- 逆向工程恶意软件包括读取和识别软件程序参数。
SOC 分析师经常与其他安全人员作为一个团队一起工作。 组织必须考虑安全运营中心分析师的意见。 他们的建议可以改善网络安全并降低因安全漏洞和其他事件而造成损失的风险。
安全运营中心分析师认证
SOC 分析师除了拥有计算机工程、计算机科学或相关领域的学士学位外,还经常接受额外培训并获得认证安全运营中心分析师 (CSA) 许可证以提高他们的技能。
其他相关认证包括:
- 认证道德黑客(CEH)
- 计算机黑客取证调查员 (CHFI)
- EC 委员会认证安全分析师 (ECSA)
- 许可渗透测试仪 (LPT)
- CompTIA安全性+
- CompTIA 网络安全分析师 (CySA+)
安全运营分析师的职责
组织内的网络和系统监视。 安全运营中心分析师的工作是对组织的 IT 系统进行观察。 这涉及密切注意任何可能指向安全系统、应用程序和网络的漏洞或攻击的异常情况。
#1。 实时威胁评估、识别和缓解
SOC 分析师与他们的团队密切合作,以确定系统出了什么问题,以及如何在检测到威胁后修复它。
#2。 事件响应和调查
在通知执法当局之前,如果需要,SOC 分析师将与团队的其他成员合作,对事件进行额外的研究。
在彻底检查每起事件后,他们还将报告有关当前网络威胁或网络漏洞的任何新信息,以尽可能通过立即实施更新来防止未来发生事件。
#3。 与其他团队成员合作,将安全程序、解决方案和最佳实践付诸实践
为了让企业继续安全可靠地运营,SOC 分析师与其他团队成员合作,确保制定适当的协议。 这包括建立新系统,并根据需要更新现有系统。
#4。 了解最新的安全威胁
SOC 分析师必须及时了解对其组织安全的最新网络威胁,无论是通过了解新的网络钓鱼诈骗,还是跟踪哪些不良行为者目前正在使用黑客工具。 这些信息使他们能够在任何潜在问题对您的业务造成问题之前迅速采取行动。
安全运营中心分析师薪水
安全专家确保员工接受必要的培训并遵守公司的所有规章制度。
这些安全分析师与组织的内部 IT 团队和业务管理员一起工作,将讨论和记录安全问题作为他们职责的一部分。 美国的证券分析师平均年薪为 88,570 美元。 (资源:Glassdoor)。
地点、公司、经验、教育和职位只是影响收入潜力的几个变量。
SOC分析师技能
尽管网络趋势可能会发生变化,但 SOC 分析师仍然需要具备很多相同的技能。 如果您想充分利用 SOC 分析师可以为您的公司提供的服务,请确保他们具备这些能力。
- 编程技巧
- 计算机取证
- 道德黑客
- 逆向工程
- 风险管理
- 解决问题
- 批判性思维
- 有效的沟通
安全运营中心框架
SOC 框架由总体架构概述,详细说明了 SOC 的组件及其交互。 必须建立一个安全运营中心框架,该框架建立在一个用于监控和记录事件的系统之上。
SOC 框架是一种整体架构,详细说明了提供 SOC 功能的组件以及它们如何相互交互。 换句话说,SOC 框架应该建立在跟踪和记录安全事件的监控系统之上。
SOC 框架的核心原则
#1。 监控
监视活动是功能安全运营中心框架可以提供的最基本的服务。 自然,此类监控的目的是确定违规行为是否已经发生或目前正在进行中。 但是,网络安全专家必须了解情况才能做出判断。 SIEM 工具、行为威胁分析和云访问安全代理是有助于监控的自动化工具和技术的几个示例。 尽管并非总是如此,但这些工具可能会利用人工智能和机器学习技术。
#2。 分析
分析应该是 SOC 提供的下一个服务。 分析的目的是确定是否发生了基于企业活动的漏洞或漏洞。 SOC 分析师检查监控系统发送的警报和警报作为检查功能的一部分,以查看它们是否与之前看到的攻击模式或漏洞利用相匹配。
#3。 事件响应和遏制
安全运营中心框架提供的下一项服务是事件响应; 如何做到这一点取决于事件的类型、范围和严重性,以及 SOC 是否是内部的,或者企业是否与需要警报通知以外的帮助的外包 SOC 提供商签订合同。
#4。 审计和记录
如前所述,SOC 在日志记录和审计中起着重要但经常被忽视的作用:确认合规性并记录对安全事件的响应,这些响应可能用作事后分析的一部分。 许多 SOC 工具包含数量惊人的带时间戳的文档,合规专家和网络安全分析师可能会发现这些文档很有用。
#5。 威胁狩猎
即使系统正常运行,SOC 分析师仍有其他职责要完成,这意味着环境中没有任何重大事件。 他们审查威胁情报服务以监控和评估外部威胁,如果他们是拥有多个客户的第三方,他们会扫描和分析跨客户数据以识别攻击和漏洞模式。 SOC 提供商,无论是内部还是外部,都可以通过主动搜索威胁,比攻击者领先一步。 如果确实发生攻击,他们还可以采取预防措施。
最后,设计良好的安全运营中心框架应该能够处理的不仅仅是监控警报和警报。 如果 SOC 的设置和管理得当,它可以帮助遏制事故。 此外,它还可以提供对事件事后分析的无价洞察力并提供预防性安全性。
通用 SOC 框架
#1。 美国国家标准与技术研究院
美国国家标准与技术研究院 (NIST) 发布了 NIST 网络安全框架,为威胁生命周期管理提供标准和指南,以协助组织制定安全计划和优化关键性能指标。 以下是 NIST 推荐的五个最佳实践:
- 读码器
- 保护
- 检测
- 回应
- 恢复
#2。 斜接攻击
Adversarial Tactics, Techniques, and Common Knowledge 是这个短语的缩写。 该框架由 Mitre Corporation 开发并于 2013 年发布,其核心是分析敌对行为以制定应对措施和新的防御策略。 它有助于威胁情报、威胁检测和分析、红队和对手模拟,以及工程和评估。
#3。 网络杀伤链
这个由洛克希德马丁公司创建的框架基于组织攻击以响应对手的战术和弱点的军事理念。 杀伤链作为一个基本原型,其行为基于典型威胁行为者的行为。 Cyber Kill Chain 是一种阶段性策略,包括以下步骤:
- 侦察
- 侵扰
- 开发
- 特权升级
- 横向运动
- 困惑
- 拒绝服务
- 渗出
#4。 统一杀伤链
为了提供一种更全面的理解对手和排名风险的方法,该框架结合了 MITRE ATT&CK 和 Cyber Kill Chain 框架。 它利用每个框架的优势来帮助缩小共同差距。 通过添加 18 个额外的阶段,该框架扩展了攻击链。
安全运营中心做什么?
组织识别威胁、响应威胁和防止进一步伤害的能力通过安全运营中心得到增强,该中心统一并协调所有网络安全技术和运营。
什么是 NOC 和 SOC?
安全运营中心 (SOC) 负责保护公司免受在线威胁,而网络运营中心 (NOC) 则负责维护公司计算机系统的技术基础设施。
有效的网络性能由网络运营中心 (NOC) 维护,威胁和网络攻击由安全运营中心 (SOC) 识别、调查和处理。
SOC 和 SIEM 之间有什么区别?
SIEM 和 SOC 之间的主要区别在于前者从各种来源收集数据并将其关联,而后者从各种来源收集数据并将其发送到 SIEM。
NOC 在安全方面意味着什么?
网络运营中心 (NOC) 是计算机、电信或卫星网络系统在一周中的每一天全天候监控和管理的集中位置。 在网络出现故障时,它充当第一道防线。
SOC的三种类型是什么?
- 共同管理的 SOC
- 虚拟SOC
- 专用SoC
什么是 TopSOC?
- 北极狼网络
- 帕洛阿尔托网络
- 网络安全
- IBM
- CISCO
结论
安全运营中心 (SOC) 很重要,因为企业越来越重视网络安全。 负责防御网络威胁的主要实体是您的 SOC。 通过将所有网络安全操作和技术集中在一个屋檐下,安全操作中心增强了组织的威胁检测、响应和预防能力。
相关文章
参考资料
