随着我国信息化建设的推进和网络安全意识的增强,防火墙、防病毒与IDS(入侵检测系统)等网络安全设备受到企业重用,但与之而来的设备维护成为企业安全运营的一个重大问题。安全设备往往都是互相独立,这就使得信息误报率和漏报率较高,而且面对海量的安全日志,用户很难从中得出有价值的系统整体安全形势分析报告,难以面对当前更加复杂多变的安全威胁。为此,能够把分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心(Security Operation Center,SOC)产品应运而生。
安全运营是一系列规则、技术和应用的集合,用以保障组织核心业务平稳运行的相关活动,是通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。
一、SOC的核心能力
1、纵深检测防御系统
(1)实现了网络阻断系统和其他安全系统的联动阻断机制
通过与网络组系统(如网络入侵检测系统、主机检测系统、WAF安全检测系统)的实时联动,实现7*24h针对互联网的IP阻断机制,解放最基本的应急处置工作量。
(2)基于日志采集的基础模块,建设攻击检测规则
通过收集的日志,包括但不限于操作系统日志、web应用日志和防火墙网络设备日志,以及安全告警、流量回溯,它是攻击研判过程中的基础模块。
(3)在SOC(网络安全管理平台)里实现SOP(标准作业程序)功能
通过自定义自动化应急处置功能,实现失陷主机的自动化网卡禁用功能,当一个主机被失陷时,可以通过SOP功能实现网卡阻断的功能点。攻击IP的风险也在SOP里实现,从而提高应急处置效率。
2、监控应急团队
(1)响应处置
根据不同影响性把安全事件分成不同级别和类别,并提前设立不同的处置预案,方便后续做好应急处置工作。
(2)分析研判
将监控团队分为一线和二线。一线负责对告警进行初步分析和研判,处理大部分告警,并将不确定或有问题的告警交由二线处置。二线负责对告警进一步研判,如果发现告警是真实的攻击,就需要做应急处置工作,如上级的排查或操作,也包括后续的溯源处置。分层次的分工可以让应急响应更加有效率地进行。
(3)安全预警
通过自动化手段监控有效性验证,纵深防御体系是否正常工作需要通过自动化方式来保证。安全人员需要保证数据源和监控数据的有效性,如日志采集、流量监控是否全面,客户端覆盖率是否有保证,而自动化手段能更好地保证数据源和监控数据的有效性。除此之外,还要保证监控规则本身的有效性,如针对某个外部需要的告警是否一直有效,或者是否因为某些原因导致它已失效,这种特殊情况都必须通过自动化的方式保证监控的有效性。
(4)复盘优化
通过监控团队的每日站立会,对当天所有安全事件进行总体分析和回顾,通过讨论,对当天所有告警具体处置的准确性、有效性进行保证。除此之外,还会讨论当天总体的外部攻击情况,做好当天晚上或明天的应急响应部署工作。
二、SOC的应用效果
1、为企业提供全程安全保护
安全运营中心7*24h运行,这种不间断的监控对于检测异常活动的最初迹象至关重要因为很多攻击都发生在非正常时段,所以SOC团队成员(无论是内部人员、外聘人员还是虚拟人员)会全天候监视潜在漏洞,随时捕获安全威胁。
2、助力企业降本增效
减少数据泄露事故和运营成本,最大程度减少网络攻击者潜伏在企业网络中的时间,降低数据泄露事故的影响(数据丢失、诉讼或声誉受损)。攻击者在系统中停留的时间越长,对企业造成的潜在损害就越大。此外,SOC团队会全天候监管,最大程度减少攻击期间的停机时间和业务中断,以防止财务损失。
3、满足合规监管要求
响应国家安全监管要求,解决网络安全响应痛点,减少安全工作对人工的过度依赖。当监测到发生安全事件时,通过SOC可有效解决涉及到多人员多角色的协同问题、多环节多流程的流转问题以及多工具多标准的使用问题,提高企业应对信息安全事件的处置能力,对政府信息安全维稳起到了积极作用,提升了企业合规标准。
4、降低负面影响,维护企业声誉
拥有SOC可以向员工、客户和第三方利益相关者表明,企业在认真对待数据安全和隐私,这可使企业、员工和客户感到更舒适地共享数据。而且,企业认真对待数据的安全性和隐私性态度,可以收获员工的信任。运行良好的SOC可以改善业务声誉,进而可能增加当前客户和潜在客户的建议。
三、总结
SOC的出现完善了企业安全管理体系,减轻了安全管理员的工作负担,有利于统一监控和管理整个网络安全状况。鹏信科技安全运营服务可在此基础上提供定制化开发,帮助企业构建完善的信息安全管理体系,为客户提供完善的产品和服务,提高企业市场竞争力,全方位助力企业数智化转型发展。