【安全运营】安全运营中心的主要能力包括那些？

3 0 0

原创君说安全

安全运营中心（SOC）主要能力包括以下几个方面：

一、安全监控与威胁检测：

SOC作为一个中央监视和分析中心，负责收集并分析来自各种监视系统的安全信息，以识别潜在的威胁。这有助于组织全天候检测网络、服务器、数据库等系统的所有活动，从而实时发现潜在威胁。

当前SOC的主要威胁监测能力还集中在网络侧，包括南北向流量和东西向流量。其中南北线监测是核心，东西向监测是辅助。数据侧的数据安全监测目前还处于研究阶段，有实际应用的场景较少，主要原因是数据侧监测跟业务强关联，解耦不易且解密不易，比如应用加密后很难从网络层看到数据是否存在泄露风险。

二、事件响应与处置：

SOC能够快速响应和处置安全事件。一旦检测到安全威胁或异常行为，SOC团队会立即进行事件响应，包括配置和监控安全工具、识别并分类威胁、确定威胁的优先级，并采取必要的措施来消除或减轻威胁。

事件响应也包括了威胁情报的整合和安全漏洞的整合。这些都需要通过响应模块及时发给客户进行预防。

三、数据分析与可视化：

SOC提供组织数据安全状态的单一视图，连接来自多个源的日志数据以改进警报分析。这有助于组织更好地理解其安全态势，并做出明智的决策。

数据分析与可视化提供了可观、可管和可控的视图，主要满足的是领导层对态势感知系统的全局掌控需求。

四、自动化与风险评估：

SOC能够自动执行一些手动任务，如签名更新，从而提高运营效率。此外，它还配备内置的风险评估工具，帮助组织评估其面临的安全风险。

比如可以通过自动化的扫描任务，自动化的补丁更新任务等，减低安全风险。但前提是要有非常好的测试环境，经过充分验证的策略才能实施。否则会面临一些未知技术故障风险。

五、云安全运营整合：

在多云环境下，SOC可以满足企业统一管理安全产品的需求，实现安全监测、安全管理、安全控制和安全处置工作的平台化。这打破了安全孤岛，提高了安全数据的集中关联分析能力，从而大幅提升了安全告警的精准度。

多云环境的安全监管能力整合一致是一个难题。现在这个能力是通过日志范式化来处理的，但是依旧有很多非主流厂商的设备难以融合，开发难度较大，沟通成本较大。一般建议统一替换成一个品牌平台，从而增加融合性，提升整合能力。

六、服务编排与自动化部署：

SOC为客户提供灵活的安全服务编排和自动化部署能力，这有助于提升安全标准化水平和安全运营效率。服务编码这块主要在运营商内部，银行、能源等行业用的比较多。因为服务编排要求同一个策略需要下到各个节点。

对于公有云平台来说，不建议实施服务编排和自动化部署。因为云租户的数据不一致，访问要求和规则都不一致，很容易出现用户问题。举个最简单的例子。A租户提供的是国外用户的服务，B租户提供的国内业务，当国外某个代理出现一个恶意攻击IP-A，B租户要求禁止IP-A访问其业务系统。如果通过自动化编排与部署，很可能A租户的业务直接导致中断，因为IP-A是访问国内业务的代理IP。