在过去两年中,说服企业领导者认真对待网络安全变得更加容易。从SolarWinds黑客攻击到疫情普及居家办公带来的常见问题,越来越多的企业组织开始面临更多的安全挑战,企业高管也开始越来越重视企业网络的安全。一个设计良好、维护良好、人员配备齐全的安全运营中心已经成为现代企业组织必须依赖的防线。是集中安全运维的场所。安全团队通常24/7全天候监控、检测、分析和响应网络安全事件。为确保网络安全,组织可能希望仔细查看其安全运营中心。下面总结了现代企业安全运营中心必须具备的10项基本能力:1.数据收集所有数据都与安全相关。数据是现代安全运营中心的生命线,分析和算法都离不开数据。因此,SOC应该能够从任何来源(结构化或非结构化)大规模摄取数据,同时能够管理这些数据以供机器或人员使用。2.威胁检测一旦安全威胁进入公司的业务系统,安全运营中心能够检测到事件是至关重要的。在这种情况下,检测侧重于安全事件,而传统解决方案侧重于文件或网络流量。安全运营中心需要能够结合关联规则、机器学习、数据分析等多种技术,以实现更好的安全事件检测能力。3.风险预警假设安全团队在发现安全事件前30分钟收到警报,可以有效避免很多损失。预测安全事件的能力可以让安全运营中心主动将事件上报给人员,或通过预定义流程简化响应。新兴的预测技术有望为分析师提供早期预警,并在未知事件变得更大风险之前识别它们。4.自动化运营在安全运营中心的演进过程中,自动化不再是可有可无,而是不可或缺的工具。自动化是帮助安全分析师的新技术之一。通过自动化功能,过去需要30分钟才能完成的流程现在只需40秒即可完成,从而使安全运营中心能够处理更多事件。5.能力编排企业在建设安全运营中心时,很可能会采购几十种产品来加强运营。这些工具都服务于特定目的并增强防御,但它们通常不会及时更新以跟上不断变化的威胁。SOC用于捕获威胁的产品需要跟上基于API的网络环境,这就是编排的用武之地。编排使得插入和连接SOC内外的每个组件变得容易。通过编排,安全人员不再需要为每个产品打开一个新的浏览器选项卡,或者使用不同的单点解决方案登录,也不需要从不同的解决方案进行复制和粘贴。协调所有产品的能力消除了开销,减少了挫败感,并帮助安全分析师专注于重要任务。6、知识库的积累并不是所有的威胁都可以通过技术手段发现和解决。因此,运营平台需要告诉分析师下一步该做什么,而现代安全运营中心可以通过积累知识库来做到这一点,这体现在推荐具体的行动或剧本。这有两个主要好处:教新分析师在遇到类似威胁时该怎么做,并为有经验的分析师提供理智检查或提醒该怎么做。7.事件调查预计在不久的将来大部分一级分析工作将实现自动化,但所有其他工作会怎样?这就必然需要详细准确的人工分析来弥补最后一个缺憾。直观的安全工具有助于提高分析师的工作效率,并帮助他们确定需要调查的优先级。8.团队合作安全是一项需要协调、沟通和协作的团队工作。在安全运营中心环境中不能有任何监督。安全事件需要综合处理。团队需要ChatOps功能来协作并将工具、人员、流程和自动化连接到一个透明的工作场所。这将信息、想法和数据置于最前沿。它使安全团队能够更好地协作,并引入企业外部的专家来帮助生成警报、与同行共享情报信息,并最终与组织外部的安全专家协作以阻止范围广泛的威胁。9.案例管理即使企业安全团队竭尽全力防止安全事件的发生,但有时还是无法避免。当发生安全事件时,安全团队需要确保他们有响应计划、工作流、证据收集、沟通、文档和时间表。这就是案例管理已成为现代安全运营中心核心功能的原因。10.报告展示拥有正确的报告工具可以帮助安全团队了解正在发生的事情,并能够准确衡量正在发生的事情以及需要实现的目标。然而,当今安全运营中心面临的挑战是它们依赖如此多的平台,几乎不可能进行准确的报告。
