安全運營中心（Security Operations Center，SOC）一個集中式功能或團隊，負責全天候檢測端點、服務器、數據庫、網絡應用程序、網站和其他系統的所有活動，以實時發現潛在的威脅；對網絡安全事件進行預防、分析和響應，以改進企業的網絡安全態勢。SOC還使用最新的威脅情報來掌握威脅組和基礎結構的最新信息，并在攻擊者利用系統或流程漏洞之前識別和處理這些漏洞，從而主動開展安全工作。大多數SOC每周7天全天候運行，跨多個國家/地區的大型企業/組織可能還依賴于全球安全運營中心（GSOC）來掌控全球安全威脅，并協調多個本地SOC之間的檢測和響應。

SOC的功能

SOC團隊承擔以下職能來幫助防止、響應攻擊并在遭到攻擊后恢復。

• 資產和工具清單

  為了消除覆蓋范圍中的盲點和缺口，SOC需要了解它保護的資產，并深入了解它用于保護企業/組織的工具。這意味著考慮到本地和多個云中的所有數據庫、云服務、標識、應用程序和客戶端。該團隊還跟蹤企業/組織中使用的所有安全解決方案，例如防火墻、反惡意軟件、反勒索軟件和監視軟件。

• 減少攻擊面

  SOC的主要責任是減少企業/組織的攻擊面。為此，SOC會維護包含所有工作負載和資產的清單、將安全修補程序應用于軟件和防火墻、識別錯誤配置，并新資產聯機時添加這些資產。團隊成員還負責研究新出現的威脅并分析風險。

• 持續監視

  SOC團隊使用安全分析解決方案全天候監視整個環境 - 本地、云、應用程序、網絡和設備，來發現異常或可疑行為；其中這些解決方案包括安全信息企業管理（SIEM）解決方案、安全編排、自動化和響應（SOAR）解決方案和擴展檢測和響應（XDR）解決方案。這些工具會收集遙測數據、聚合數據，并在某些情況下自動進行事件響應。

• 威脅情報

  SOC還使用數據分析、外部源和產品威脅報告來深入了解攻擊者行為、基礎結構和動機。這種情報提供了有關Internet上正在發生的情況的全局視圖，并幫助團隊了解威脅組是如何運作的。借助此信息，SOC可快速發現威脅，并加強企業/組織對新出現的風險的應對。

• 威脅檢測

  SOC團隊使用SIEM和XDR解決方案生成的數據來識別威脅。這首先會從實際問題中篩選掉誤報。然后，按嚴重性和對業務的潛在影響確定威脅的優先級。

• 日志管理

  SOC還負責收集、維護和分析每個客戶端、操作系統、虛擬機、本地應用和網絡事件生成的日志數據。分析有助于建立正常活動的基線，并揭示可能指示惡意軟件、勒索軟件或病毒的異常。

• 事件響應

  識別到網絡攻擊后，SOC會快速采取措施，在盡可能減少業務中斷的情況下限制對企業/組織的損害。措施可能包括關閉或隔離受影響的客戶端和應用程序、暫停被入侵的賬戶、移除遭到感染的文件，以及運行防病毒和反惡意軟件。

• 發現和修正

  在攻擊之后，SOC負責將公司恢復到其原始狀態。團隊將擦除并重新連接磁盤、標識、電子郵件和客戶端，重啟應用程序，直接轉換到備份系統，并恢復數據。

• 根本原因調查

  為了防止類似的攻擊再次發生，SOC進行了徹底的調查，來確定漏洞、效果不佳的安全流程和其他導致事件的教訓。

• 安全性優化

  SOC使用事件期間收集的任何情報來解決漏洞、改進流程和策略，并更新安全路線圖。

• 合規性管理

  SOC職責的一個關鍵部分是確保應用程序、安全工具和流程符合隱私法規，例如，《PCI DSS安全遵從包》、《ISO 27701安全遵從包》和《ISO 27001安全遵從包》等。團隊定期審核系統來確保合規性，并確保在數據泄露后通知監管機構、執法人員和客戶。

SOC中的關鍵角色

根據企業/組織的規模，典型的SOC包括以下角色：

• 事件響應總監

  此角色通常只出現在非常大型的企業/組織中，負責協調安全事件期間的檢測、分析、遏制和恢復。還管理與相應利益干系人的溝通。

• SOC管理者

  SOC監督員是管理者，通常向首席信息安全官（CISO）報告。職責包括監督人員、運行業務、培訓新員工和管理財務。

• 安全工程師

  安全工程師負責企業/組織安全系統的啟動和運行。這包括設計安全體系結構以及研究、實施和維護安全解決方案。

• 安全分析師

  安全分析師是安全事件中的第一響應人，負責識別威脅、確定威脅的優先級，然后采取行動來遏制損害。在遭到網絡攻擊期間，安全分析師可能需要隔離已遭到感染的主機、客戶端或用戶。在一些企業/組織中，會根據安全分析師負責解決的威脅的安全程度來對這些分析師進行分級。

• 威脅搜尋者

  在一些企業/組織中，經驗最豐富的安全分析師被稱為威脅搜尋者。威脅搜尋者識別和響應自動工具未檢測到的高級威脅。該角色主動行動，旨在加深企業/組織對已知威脅的了解，并在攻擊發生之前揭示未知的威脅。

• 取證分析師

  大型企業/組織可能還會聘用取證分析師，取證分析師負責在出現違規后收集情報來確定其根本原因。會搜尋系統漏洞、違反安全策略的行為和網絡攻擊模式，這些有可能幫助防止將來發生類似的入侵。

SOC的類型

企業/組織有幾種不同的方式來設置其SOC。一些企業/組織選擇構建具有全職員工的專用SOC。這種類型的SOC可以是內部的，具有物理的本地位置，也可以是虛擬的，員工使用數字工具遠程協調工作。許多虛擬SOC既有合同工，也有全職員工。外包SOC也可稱為“托管SOC”或“安全運營中心即服務”，它由托管安全服務提供商運行，該提供商負責防止、檢測、調查和響應威脅。此外，它可以既有內部員工，也有托管安全服務提供商。這種版本被稱為托管或混合SOC。企業/組織使用這種方法來增加自身員工的影響力。例如，如果沒有威脅調查員，那么聘用第三方可能與在內部配備這些人員更加容易。

SOC團隊的重要性

強大的SOC可幫助企業、政府和其他組織適應于不斷變化的網絡威脅環境。這不是一件容易的事。攻擊者和防御社區都經常開發新的技術和戰略，而管理所有的變化需要時間和精力。SOC利用其對更廣泛的網絡安全環境的了解以及對內部薄弱點和業務優先級的理解，幫助企業/組織制定符合業務長期需求的安全路線圖。SOC還可限制發生攻擊時對業務的影響。持續監視網絡并分析警報數據，因此與分散在其他幾個優先事項的團隊相比，更有可能更早地發現威脅。通過定期培訓和記錄良好的流程，SOC可以快速處理當前事件，即使在壓力極大的情況下也能做到。對于沒有全天候關注安全運營的團隊來說，這可能很困難。

SOC的優勢

通過將用于保護企業/組織免受威脅影響的人員、工具和流程進行統一，SOC可幫助企業/組織更有效、更高效地防御攻擊和泄露。

• 強大的安全狀況

  提高企業/組織的安全性是一項永無止境的工作。它需要持續監視、分析和規劃，以發現漏洞并掌握不斷變化的技術。當有待處理事項的優先級不相上下時，很容易會忽視安全性，而關注感覺更緊迫的任務。

  集中式SOC有助于確保持續改進流程和技術，從而減低成功攻擊帶來的風險。

• 遵守隱私法規

  行業、國家和地區在治理數據收集、存儲和使用方面的法規各有不同。許多法規要求企業/組織在使用者請求時報告數據泄露并檢測個人數據。制定適當的流程和程序與擁有適當的技術同樣重要。SOC的成員幫助企業/組織承擔保持技術和數據流程最新的責任來遵守這些法規。

• 快速響應事件

  發現和阻止網絡攻擊的速度有多快至關重要。借助適當的工具、人員和情報，可以在漏洞造成任何損害之前遏止這些漏洞。但是，惡意操作者也很聰明，會隱藏起來、竊取大量數據，并在任何人注意到之前提升權限。安全事件也是一個讓人非常有壓力的事情，尤其是對于在事件響應方面缺乏經驗的人來說。

  借助統一的威脅情報和記錄良好的程序，SOC團隊能夠快速檢測、響應攻擊，并在遭到攻擊后快速恢復。

• 降低入侵成本

  對于企業/組織來說，一次成功的入侵可能會付出非常昂貴的代價。恢復通常需要停機很長時間，很多企業在事件發生后不久會失去客戶或難以贏得新客戶。通過先于攻擊者行動并快速響應，SOC可幫助企業/組織在重回正常運營時節省時間和金錢。

SOC團隊的最佳做法

要負責的事情太多，SOC必須有效地企業/組織和管理才能取得結果。擁有強大SOC的企業/組織會實施以下安全做法：

• 策略與業務看齊

  即使資金最充裕的SOC也必須決定將時間和金錢集中在哪些方面。企業/組織通常會先進行風險評估，來識別最容易出現風險的方面和最大的業務機會。這有助于確定需要保護哪些內容。SOC還需要了解資產所在的環境。很多企業的環境很復雜，一些數據和應用程序在本地，一些跨多個云分布。策略有助于確定安全專業人員是否需要每天任何時間都可聯系，以及是在內部配置SOC還是使用專業服務更好。

• 員工具備能力、經過良好培訓

  有效SOC的關鍵在于高技能且不斷進步的員工。首先是要找到人才，但由于安全人員市場競爭非常激烈，因此這可能很棘手。為了避免技能差距，許多企業/組織試著尋找擁有各種專業知識的人員，這些知識包括系統和情報監視、警報管理、事件檢測和分析、威脅搜尋、道德黑客、網絡取證和逆向工程。還會部署可自動執行任務的技術，讓較小型的團隊更加高效，并提高初級分析員的產出。在定期培訓方面投入有助于企業/組織留住關鍵員工、彌補技能差距和發展員工的職業生涯。

• 端到端可見性

  攻擊可能從單個客戶端開始，因此SOC了解企業/組織的整個環境至關重要，這包括由第三方管理的任何內容。

• 適當的工具

  安全事件是如此的多，團隊很容易不知所措。有效SOC會在安全工具上投入，這些工具可很好地協同工作，并使用 AI 和自動化來上報重大風險。互操作性是避免覆蓋范圍出現缺口的關鍵。

SOC工具與技術

• 安全信息和事件管理（SIEM）

  SOC中最重要的工具之一是基于云的SIEM解決方案，它將來自多個安全解決方案和日志文件的數據聚合在一起。借助威脅情報和AI，這些工具幫助SOC檢測不斷演化的威脅、加快事件響應速度并先于攻擊者行動。

• 安全編排、自動化和響應（Security Orchestration, Automation and Response，SOAR）

  SOAR可自動執行定期和可預測的擴充、響應和修正任務，從而空出時間和資源來進行更深入的調查和搜尋。

• 擴展檢測和響應（Extended Detection and Response，XDR）

  XDR是一種服務型軟件工具，它通過將安全產品和數據集成到簡化的解決方案中來提供全面、更優的安全性。企業/組織使用這些解決方案在多云混合環境中主動有效地應對不斷演化的威脅環境和復雜的安全挑戰。與終端節點檢測和響應 (EDR) 等系統相比，XDR擴大了安全范圍，從而跨更廣泛的產品集成了保護，包括企業/組織的終端節點、服務器、云應用程序和電子郵件等。在此基礎中，XDR將預防、檢測、調查和響應相結合，提供可見性、分析、相關事件警報和自動化響應來增強數據安全并對抗威脅。

• 防火墻

  防火墻會監視進出網絡的流量，根據SOC定義的安全規則允許或阻止流量。

• 日志管理

  日志管理解決方案通常是SIEM的一部分，它會記錄來自企業/組織中運行的每個軟件、硬件和客戶端的所有警報。這些日志提供了網絡活動的相關信息。

• 漏洞管理

  漏洞管理工具會掃描網絡來幫助識別攻擊者可能利用的任何薄弱點。

• 用戶和實體行為分析（User and Entity Behavior Analytics，UEBA）

  用戶和實體行為分析構建在許多新式安全工具之中，它使用AI來分析從各種設備收集的數據，來為每個用戶和實體建立正常活動的基線。當事件偏離基線時，會標記該事件供進一步分析。

SOC和SIEM

如果沒有SIEM，SOC將很難完成其任務。新式SIEM提供：

• 日志聚合：SIEM會收集日志數據并關聯警報，分析人員可使用這些信息來檢測和搜尋威脅。

• 上下文：SIEM跨組織中的所有技術收集數據，所以它幫助將單個事件之間的點連接起來，識別復雜的攻擊。

• 減少警報數：SIEM使用分析和AI來關聯警報并識別最嚴重的事件，從而減少用戶需要審查和分析的事件數。

• 自動響應：內置規則使SIEM能夠識別和阻止可能的威脅，無需人員交互。

SOC解決方案

有多種解決方案可用來幫助SOC保護組織。最佳解決方案協同工作，跨本地和多個云提供完整覆蓋范圍。云安全提供全面的解決方案，來幫助SOC消除覆蓋范圍方面的差距，并獲得其環境的360度視圖。態勢感知（專業版）檢測和響應解決方案集成，為分析師和威脅搜尋者提供查找和遏止網絡攻擊所需的數據。

常見問題

1. 安全運營中心團隊要做什么？

   SOC團隊監視服務器、設備、數據庫、網絡應用程序、網站和其他系統，以實時發現潛在威脅。及時了解最新威脅并在攻擊者利用系統或進程漏洞之前發現和解決這些漏洞，以執行主動安全工作。如果企業/組織已然遭受到攻擊，SOC 團隊負責根據需要去除威脅以及還原系統和備份。

2. 安全運營中心的關鍵組件是什么？

   SOC由有助于保護組織免受網絡攻擊的人員、工具和流程組成。為了實現其目標，它執行以下功能：清點所有資產和技術、日常維護和準備、持續監視、威脅檢測、威脅情報、日志管理、事件響應、恢復和修正、根本原因調查、安全優化和合規性管理。

3. 為什么企業/組織需要強大的SOC？

   強大的SOC通過統一防御、威脅檢測工具和安全流程來幫助企業/組織更高效和有效地管理安全性。與沒有SOC的公司相比，具有SOC的企業/組織能夠改進其安全流程、更快地應對威脅以及更好地管理合規性。

4. SIEM和SOC有什么區別？

   SOC是負責保護企業/組織免受網絡攻擊的人員、流程和工具。SIEM是SOC用于保持可見性和響應攻擊的眾多工具之一。SIEM匯總日志文件，并使用分析和自動化向決定響應方式的SOC成員揭示可信威脅。