什麼是安全營運中心 (SOC)?

安全營運中心(即 SOC)可透過識別、調查和補救威脅,協助組織避免攻擊。

學習目標

閱讀本文後,您將能夠:

  • 定義「安全營運中心」
  • 瞭解 SOC 如何保護組織免受威脅
  • 對比 SOC 與 NOC 的功能

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是安全營運中心 (SOC)?

安全營運中心 (SOC),也稱為資訊安全營運中心 (ISOC),是一個專門的設施,安全專業人員可以在其中監控、分析和緩解潛在的網路威脅。由於現代組織的分佈式性質,「SOC」通常用於描述執行這些功能的安全工程師和分析師團隊。

雖然 SOC 的體系結構因組織而異,但它實現了幾個關鍵功能:

  • 追蹤跨網路、伺服器、資料庫和裝置的活動
  • 調查及回應威脅
  • 確保合規性並改善安全狀態

一般來說,一個組織仰賴單一內部 SOC 來管理和修復威脅,但是大型企業可能會在不同國家/地區維護多個 SOC(有時稱為全球安全營運中心GSOC),或者選擇聘請第三方的安全分析師和工程師團隊。

SOC 如何保護組織免受威脅?

SOC 可以透過許多不同的方式進行設定,並且可能會根據組織的需求和能力而改變。一般來說,它的職責分為三個貯體:

預防

資產清查:為了保護組織免受威脅並識別安全漏洞,SOC 需要對其系統、應用程式和資料的完整可見性,以及保護它們的安全工具。資產發現工具可用於執行清查過程。

漏洞評估:為了評估攻擊的潛在影響,SOC 可能會對組織的硬體和軟體進行定期測試,並使用結果來更新其安全政策或制定事件響應方案。

預防性維護:一旦 SOC 確定了組織基礎結構中的漏洞,就可以採取措施加強其安全狀態。這些措施可能包括更新防火牆、維護允許清單和封鎖清單、修補軟體,以及完善安全通訊協定和程序。

偵測

記錄收集和分析:SOC 收集組織網路上事件所產生的記錄資料(例如防火牆、入侵預防和偵測系統等記錄的事件),然後分析這些記錄是否有任何異常或可疑活動。根據組織基礎結構的規模和複雜性,這可能是一個資源密集型過程,並且可以透過自動化工具來完成。

威脅監控:SOC 使用記錄資料,針對可疑活動和其他入侵指標 (IOC) 建立警示。IOC 是資料中的異常情況,例如網路流量不規則、系統檔案意外變更、未經授權的應用程式使用、奇怪的 DNS 要求或其他行為,表示可能會發生違規或其他惡意事件。

安全性資訊與事件管理 (SIEM):SOC 通常與 SIEM 解決方案搭配使用,以自動化威脅防護和修復。SIEM 的常見功能包括:

  • 記錄資料彙總
  • 警示監控
  • 進階威脅情報
  • 安全事件分析
  • 合規性報告

保護

事件回應與補救:發生攻擊時,SOC 通常會採取幾個步驟來減輕損壞並還原受影響的系統。這些措施可能包括隔離受感染的裝置、刪除遭到入侵的檔案、執行反惡意軟體,以及進行根本原因調查。SOC 可能會使用這些調查結果來改善現有的安全政策。

合規性報告:受到攻擊後,SOC 會通知相關機構遭到入侵的受保護資料的數量和類型,以協助組織遵循資料隱私權法規(例如 GDPR)。

什麼是常見的 SOC 類型?

在建立 SOC 時,組織有幾種選擇。SOC 最常見的類別包括:

  • 內部 SOC專用 SOC 由使用該 SOC 的組織擁有和運作。內部 SOC 的優點可能包括更快的事件回應時間和量身定制的安全偵測和回應能力,儘管它們也可能比其他 SOC 昂貴,以及需要更密集的資源進行維護。
  • 受管理的 SOC(即 SOC 即服務)允許組織將 SOC 責任外包給第三方安全提供商。大多數受管理的 SOC 分為兩種類別:受管理的安全服務提供商 (MSSP)受管理的偵測和回應 (MDR)
  • MSSP 是一種受管理的 SOC 服務,用於監控系統和資料。MSSP 的主要作用是在偵測到惡意活動時提醒組織。它透過編目網路事件和偵測異常情況來達成任務。
  • MDR 是一種受管理的 SOC 服務,可擴展 MSSP 的取證功能。除了追蹤網路活動和建立警示外,它還可以調查潛在威脅、從警示中移除誤判、提供進階分析和威脅情報,並協助修復安全性事件。

什麼是網路營運中心 (NOC)?

網路營運中心(即 NOC)監督網路活動和威脅。NOC 團隊負責監控組織網路的健全狀況、預測和預防服務中斷、防禦攻擊,以及針對各種系統和軟體執行例行維護檢查。

與 SOC 不同的是,SOC 追蹤和緩解組織整個基礎結構中的惡意活動,而 NOC 專注於網路安全和效能。

Cloudflare 是否提供 SOC 服務?

Cloudflare 安全營運中心即服務將偵測和監控功能與關鍵安全技術相結合,例如 Web 應用程式防火牆 (WAF)傀儡程式管理解決方案和 DDoS 攻擊防護。透過將 SOC 責任卸載到 Cloudflare,組織可以保持對其基礎結構的可見性,追蹤和緩解傳入的威脅,並降低整體安全成本。