建立安全运营中心意味着了解所需的关键功能,以确保网络免受威胁。
在 Nemertes 的最新研究中,我们记录到成功的网络安全运营拥有 SOC 的可能性比不那么成功的网络安全运营高 52%。Nemertes 是根据组织遏制安全漏洞的平均总时间来衡量成功的。为了被认为是成功的,组织必须具有少于 20 分钟的 MTTC,在所有公司中排名第 80%。
对于较小的公司而言,将 SOC 外包给提供商的做法是可行的,而较大的公司则通过拥有自己的内部人员 SOC 获得了更多的收益。
关键 SOC 技术能力
无论 SOC 是由内部人员配备还是由外部提供,构建安全运营中心都意味着包括一些关键技术能力,这些能力旨在覆盖网络安全事件的整个生命周期 - 从检测和响应到对未来事件的预测。这些功能包括以下内容:
通知和警报
SOC 的最基本角色是在发生安全事件时通知安全团队。一系列工具可提供来自 SIEM 的通知和警报软件和入侵检测/入侵防护产品,以进行行为威胁分析。虽然确切的工具选择会根据网络安全组织的要求而有所不同,但是在构建安全运营中心时,必不可少的是它必须包含专注于通知和警报的工具。
安全协调,自动化和响应 (SOAR)
由 Gartner 创造的 SOAR 涵盖了一系列工具,产品和服务,这些工具,产品和服务着重于在检测到入侵之后会发生什么。本质上,SOAR 产品是专为网络安全事件响应而设计的收缩包装机器人流程自动化(RPA)软件。SOAR 通常提供以下一些或全部功能:
- 自动化的事件响应。大多数网络安全组织已经制定了事件响应,理想情况下,SOAR 可以自动执行部分或者全部策略,包括提醒适当的人员,使受影响的系统脱机并提供其他主动的安全措施。
- 案例管理。许多 SOAR 工具提供了一个框架来管理安全事件的整个生命周期。除其他功能外,这些案例管理工具还使分析人员能够记录事件,捕获和标记所有分析人员活动的时间戳,包括适当的安全控制 - 低级别的分析人员不应自动获得对在分析期间可能暴露的敏感数据的访问违反 - 并收集与正在进行的网络安全事件响应相关的所有其他信息。
SOC的所有职责可以分成三类:预防,检测和保护。
- 记录和审核合规性。从案例管理功能的描述中应该显而易见的是,SOAR 产品应该能够提供足够的日志记录和审计信息,从而有助于将来的合规性计划。
- 分析和人工智能。除了上述 RPA 功能之外,许多 SOAR 产品还包括分析和 AI,以提供对网络安全事件的故障排除和根本原因分析,以及用于突出潜在漏洞的预测分析。
智能威胁搜寻
理想情况下,建立安全运营中心应该包括不仅提供事件检测和响应的工具,尽管这两个工具都是至关重要的。它应该提供有关组织面临威胁的脆弱性的一些见解,包括分析数据以发现漏洞以及应用来自威胁情报服务的见解来检测可能的攻击。
转载声明
本文翻译自:https://searchsecurity.techtarget.com/tip/Key-features-in-building-a-security-operations-center