什么是安全运维中心?
安全运维中心也称为 SOC,是企业内的一个集中式安全中心,负责持续监控企业的安全环境,例如安全基础架构、网络连接、应用、公司设备以及与企业交互的任何其他技术或服务。
除了持续监控、威胁分析和修复安全威胁,安全运维中心还肩负改进现有安全计划的任务,以确保企业的安全状况尽可能强大和稳固。
为了实现这些计划,安全运维中心持续从跨整个企业的一系列数据源中获取并记录数据,从而提供安全运维团队可用于实时安全分析的实时安全数据。在此过程中,SOC 团队将全天候观察、分析和修复潜在的安全威胁,并将关键安全威胁信息传达给最高管理层。

充分防御:为应对破坏性网络攻击做好准备

勒索软件攻击和技术 - 来自 VMware 威胁报告的分析
安全运维中心如何工作?
成功的安全运维中心的关键组成部分之一是使用安全信息和事件管理系统(也称为 SIEM)。安全信息和事件管理系统旨在通过从企业网络中的一系列设备轮询关键安全数据的服务,来获取实时数据。
从 SIEM 收集的数据可以通过多种方式进行使用。例如,SIEM 收集的可疑数据可用于为可疑事件或异常事件生成警报。
SIEM 用于将与安全相关的数据汇集到漏洞评估解决方案中,例如入侵防御系统 (IPS)、入侵检测系统 (IDS)、特定于安全的数据库、数据仓库和威胁情报平台 (TIP),以便对数据执行进一步的安全操作。
安全运维中心的好处
建立 SOC 的主要好处之一是,企业将通过此安全计划获得增强的安全状况。
投资于安全运维中心的企业将受益于对整个企业的持续监控、全天候收集与其网络、设备和应用相关的实时数据。这会极大地缩短企业从突发事件发生到做出响应的时间,从而大大减轻攻击的潜在损害。
利用强大 SOC 模型的企业更有可能及早发现恶意攻击,并降低潜在网络安全攻击的损害。
安全运维中心面临的挑战
安全运维中心面临两大障碍:人员短缺和技能短缺。
人员短缺:
在如今动荡的就业市场中,企业难以招聘和留住顶尖人才。安全领域尤其如此。今年年初有近 500,000 个安全职位空缺,但没有足够的合格求职者来填补这些职位,安全团队要继续在人员不足的条件下超负荷运转。
技能短缺:
安全行业也深受技能短缺的影响。当人才库中可供选择的人员数量有限时,企业只能退而求其次,聘用不太符合要求的求职者。这意味着雇主将肩负在内部提高员工技能的任务,或者依靠现有员工(有时来自外围部门)来承担额外的工作职责。
什么是安全运维中心工具?
对于当今依赖现代技术的企业而言,安全运维中心是进行威胁识别和控制而部署的策略。威胁控制依赖于一系列安全应用、服务和工具来降低网络攻击风险。
每个安全运维中心在选择用于强化其安全环境的安全工具方面都具有自己的独特性。但是,大多数安全运维中心也都会使用一些通用的安全应用、服务和工具。
行为监控系统
行为监控是所有现代安全运维中心的标准实践,此流程将监控各种企业属性,目的是发现可能指示安全威胁的异常情况。
行为监控工具将分析的常见属性包括:
- 网络活动
- 可疑下载
- 端点重启
- 策略违反
- 评估入站/出站流量的地理位置
- 错误消息
端点监控系统
在网络安全攻击方面,用户端点是当今最易受攻击的目标之一。遗憾的是,用户很容易打开恶意电子邮件,或成为社交工程攻击的受害者。对于当今的安全运维中心而言,主动端点监控是重中之重。
SIEM(安全信息和事件管理)
安全信息和事件管理系统 (SIEM) 的任务是从各种安全应用、服务和工具收集实时安全数据,并生成针对可疑活动的警报。SIEM 是安全运维中心内最重要的工具之一,因为它充当集中式数据收集中心,几乎所有与安全相关的决策都依赖于该中心。
入侵检测系统 (IDS)
入侵检测系统(简称 IDS)是安全运维中心的另一个关键组成部分。IDS 的任务是监控流入和流出网络的数据。此系统的作用是识别和标记在企业网络中传播的潜在安全威胁。
入侵保护系统 (IPS)
入侵保护系统(简称 IPS)的作用是消除对企业网络进行的威胁,在这个意义上,它与 IDS 类似。不同的是,IDS 是识别并标记可疑数据包,再由安全运维团队采取进一步行动,IPS 则是实时识别并删除网络中的可疑数据包。
了解 SOC 团队的角色和职责
当今的安全运维团队的结构对于任何企业的成功都至关重要。不仅安全运维团队中的个人需要接受针对其角色的适当培训,整个团队也必须以协调的方式运作,从而保障企业的安全性和完整性。
首席信息安全官 (CISO):
首席信息安全官 (CISO) 是一个最高管理层职位,其任务是做出与影响整个公司的安全计划相关的高层决策。
这些人员将制定与安全相关的战略和运维,并下达到安全运维中心的领导层,例如突发事件响应主管和 SOC 经理,以确保他们按照一致的方法来处理安全运维和威胁防御运维。
高级安全经理:
高级安全经理的任务是监督其 SOC 团队的所有运维,并就在发生严重安全威胁时团队应如何运作和应对提供高级指示。高级安全经理还肩负与首席信息安全官 (CISO) 沟通的任务,以传达与严重安全问题相关的信息。
突发事件响应人员:
突发事件响应人员负责配置和管理安全监控工具,以及报告已识别的网络威胁。此角色负责监督数百个日常安全威胁,并肩负就如何处理潜在安全威胁做出实时决策的任务。
SOC 分析师:
SOC 分析师的任务是监控安全事件并为 L2/L3 安全分析师对警报进行分类。这些分析师将调查所有可疑活动并响应警报。
VMware 如何为安全运维中心提供支持?
VMware 提供了一套安全解决方案,以支持对安全运维中心进行现代化改造。借助 VMware,您可以安心、快速且准确地扩展响应。借助一流的平台,VMware 提供即时可用的功能,增强企业运维信心并缩短解决问题的时间。
相关解决方案和产品
VMware Carbon Black Endpoint
使用一个代理和控制台整合多个端点安全功能
Threat Analysis Unit
通过创新和卓越研究来保护客户
NSX Network Detection and Response
AI 驱动的跨多个检测引擎的事件关联
NSX Sandbox
完整的恶意软件分析