安全營運中心(即 SOC)可透過識別、調查和補救威脅,協助組織避免攻擊。
閱讀本文後,您將能夠:
複製文章連結
安全營運中心 (SOC),也稱為資訊安全營運中心 (ISOC),是一個專門的設施,安全專業人員可以在其中監控、分析和緩解潛在的網路威脅。由於現代組織的分佈式性質,「SOC」通常用於描述執行這些功能的安全工程師和分析師團隊。
雖然 SOC 的體系結構因組織而異,但它實現了幾個關鍵功能:
一般來說,一個組織仰賴單一內部 SOC 來管理和修復威脅,但是大型企業可能會在不同國家/地區維護多個 SOC(有時稱為全球安全營運中心或 GSOC),或者選擇聘請第三方的安全分析師和工程師團隊。
SOC 可以透過許多不同的方式進行設定,並且可能會根據組織的需求和能力而改變。一般來說,它的職責分為三個貯體:
資產清查:為了保護組織免受威脅並識別安全漏洞,SOC 需要對其系統、應用程式和資料的完整可見性,以及保護它們的安全工具。資產發現工具可用於執行清查過程。
漏洞評估:為了評估攻擊的潛在影響,SOC 可能會對組織的硬體和軟體進行定期測試,並使用結果來更新其安全政策或制定事件響應方案。
預防性維護:一旦 SOC 確定了組織基礎結構中的漏洞,就可以採取措施加強其安全狀態。這些措施可能包括更新防火牆、維護允許清單和封鎖清單、修補軟體,以及完善安全通訊協定和程序。
記錄收集和分析:SOC 收集組織網路上事件所產生的記錄資料(例如防火牆、入侵預防和偵測系統等記錄的事件),然後分析這些記錄是否有任何異常或可疑活動。根據組織基礎結構的規模和複雜性,這可能是一個資源密集型過程,並且可以透過自動化工具來完成。
威脅監控:SOC 使用記錄資料,針對可疑活動和其他入侵指標 (IOC) 建立警示。IOC 是資料中的異常情況,例如網路流量不規則、系統檔案意外變更、未經授權的應用程式使用、奇怪的 DNS 要求或其他行為,表示可能會發生違規或其他惡意事件。
安全性資訊與事件管理 (SIEM):SOC 通常與 SIEM 解決方案搭配使用,以自動化威脅防護和修復。SIEM 的常見功能包括:
事件回應與補救:發生攻擊時,SOC 通常會採取幾個步驟來減輕損壞並還原受影響的系統。這些措施可能包括隔離受感染的裝置、刪除遭到入侵的檔案、執行反惡意軟體,以及進行根本原因調查。SOC 可能會使用這些調查結果來改善現有的安全政策。
合規性報告:受到攻擊後,SOC 會通知相關機構遭到入侵的受保護資料的數量和類型,以協助組織遵循資料隱私權法規(例如 GDPR)。
在建立 SOC 時,組織有幾種選擇。SOC 最常見的類別包括:
網路營運中心(即 NOC)監督網路活動和威脅。NOC 團隊負責監控組織網路的健全狀況、預測和預防服務中斷、防禦攻擊,以及針對各種系統和軟體執行例行維護檢查。
與 SOC 不同的是,SOC 追蹤和緩解組織整個基礎結構中的惡意活動,而 NOC 專注於網路安全和效能。
Cloudflare 安全營運中心即服務將偵測和監控功能與關鍵安全技術相結合,例如 Web 應用程式防火牆 (WAF)、傀儡程式管理解決方案和 DDoS 攻擊防護。透過將 SOC 責任卸載到 Cloudflare,組織可以保持對其基礎結構的可見性,追蹤和緩解傳入的威脅,並降低整體安全成本。