【安全运营】 安全运营中心的主要能力包括那些?

随笔3个月前发布 浮浮沉沉
32 0 0

原创 君说安全

安全运营中心(SOC)主要能力包括以下几个方面:

一、安全监控与威胁检测:

SOC作为一个中央监视和分析中心,负责收集并分析来自各种监视系统的安全信息,以识别潜在的威胁。这有助于组织全天候检测网络、服务器、数据库等系统的所有活动,从而实时发现潜在威胁。

当前SOC的主要威胁监测能力还集中在网络侧,包括南北向流量和东西向流量。其中南北线监测是核心,东西向监测是辅助。数据侧的数据安全监测目前还处于研究阶段,有实际应用的场景较少,主要原因是数据侧监测跟业务强关联,解耦不易且解密不易,比如应用加密后很难从网络层看到数据是否存在泄露风险。

二、事件响应与处置:

SOC能够快速响应和处置安全事件。一旦检测到安全威胁或异常行为,SOC团队会立即进行事件响应,包括配置和监控安全工具、识别并分类威胁、确定威胁的优先级,并采取必要的措施来消除或减轻威胁。

事件响应也包括了威胁情报的整合和安全漏洞的整合。这些都需要通过响应模块及时发给客户进行预防。

三、数据分析与可视化:

SOC提供组织数据安全状态的单一视图,连接来自多个源的日志数据以改进警报分析。这有助于组织更好地理解其安全态势,并做出明智的决策。

数据分析与可视化提供了可观、可管和可控的视图,主要满足的是领导层对态势感知系统的全局掌控需求。

四、自动化与风险评估:

SOC能够自动执行一些手动任务,如签名更新,从而提高运营效率。此外,它还配备内置的风险评估工具,帮助组织评估其面临的安全风险。

比如可以通过自动化的扫描任务,自动化的补丁更新任务等,减低安全风险。但前提是要有非常好的测试环境,经过充分验证的策略才能实施。否则会面临一些未知技术故障风险。

五、云安全运营整合:

在多云环境下,SOC可以满足企业统一管理安全产品的需求,实现安全监测、安全管理、安全控制和安全处置工作的平台化。这打破了安全孤岛,提高了安全数据的集中关联分析能力,从而大幅提升了安全告警的精准度。

多云环境的安全监管能力整合一致是一个难题。现在这个能力是通过日志范式化来处理的,但是依旧有很多非主流厂商的设备难以融合,开发难度较大,沟通成本较大。一般建议统一替换成一个品牌平台,从而增加融合性,提升整合能力。

六、 服务编排与自动化部署:

SOC为客户提供灵活的安全服务编排和自动化部署能力,这有助于提升安全标准化水平和安全运营效率。服务编码这块主要在运营商内部,银行、能源等行业用的比较多。因为服务编排要求同一个策略需要下到各个节点。

对于公有云平台来说,不建议实施服务编排和自动化部署。因为云租户的数据不一致,访问要求和规则都不一致,很容易出现用户问题。举个最简单的例子。A租户提供的是国外用户的服务,B租户提供的国内业务,当国外某个代理出现一个恶意攻击IP-A,B租户要求禁止IP-A访问其业务系统。如果通过自动化编排与部署,很可能A租户的业务直接导致中断,因为IP-A是访问国内业务的代理IP。

七、全场景安全能力构建:

通过SOC,组织可以构建全天候、全方位、全场景的安全能力,以应对新形势下网络安全面临的各种威胁。这包括提前预防、全天监测、及时响应和快速处置等能力。

这个安全能力构建大部分厂商都提供类似的描述,但是都有点虚了,提前预防并不是真正的能预防,而是通过威胁情报对部分用户做提前部署,因而实现提前预防。全天监测和及时响应这块更多的还是需要靠人,运营人员才是核心。

综上所述,安全运营中心的赋能涵盖了安全监控、威胁检测、事件响应、数据分析、自动化与风险评估以及云安全运营整合等多个方面,为组织提供了全面的网络安全保障。

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...