随着我国信息化建设的推进和网络安全意识的增强,防火墙、防病毒与IDS(入侵检测系统)等网络安全设备受到企业重用,但与之而来的设备维护成为企业安全运营的一个重大问题。
以往安全设备往往都是互相独立,这就使得信息误报率和漏报率较高,而且面对海量的安全日志,用户很难从中得出有价值的系统整体安全形势分析报告,难以面对当前更加复杂多变的安全威胁。
为此,能够把分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心(Security Operations Center,SOC)应运而生。
一、什么是安全运营中心(SOC)?
通常来说,SOC被定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
其实,SOC是一个复杂的系统,他包含了产品、服务、运营,是技术、流程和人的有机结合。
二、SOC概念的起源
SOC的提出首先来源于安全服务提供商,他们首先提出了可管理安全服务(MSS)概念。
从1998——2001年国外SOC发展的大致情况看,SOC发展一直都是作为服务(中心)和产品(平台)两个维度来发展的。现在的SOC究竟是服务还是产品,取决于企业的发展策略:
SOC作为服务,可以用于建立MSS运营平台,成为MSS的基础。这时SOC是一个中心,有固定的工作场景,有SOC技术支撑平台以及人员、运营的流程,来为企业提供安全管理服务。
SOC作为产品,可以用于建立企业和组织的安全运营中心。首先,要有一套SOC平台,然后借助这个平台,来进行安全运营。如果仅仅购买一个平台,而不考虑运营,SOC的作用就会大大削减。
三、建立SOC的三种方法
1.自建型SOC
由企业内部自行建立和管理的安全运营中心,包括人员、组织、流程,并进行运营(其中平台部分,企业可以自己设计并开发,也可以采购平台)。
2.外包型SOC
由企业将安全运营中心的功能和责任外包给MSS服务商进行管理和执行(包括租用安全基础设施)。
3.共建型SOC
企业采用较多的方式。由企业自建SOC平台,建立核心的组织结构和流程,处理核心的安全问题,第三方安全服务提供商来进行管理和协助运营。
四、行业流行的SOC类型及特点
1.虚拟型SOC
该模式没有专用的设施及团队。主要依赖于分散的安全技术,在发生安全事件时才会响应。通常仅适用于发生偶发事件、与MSSP或其他第三方合作的小型企业。
其特点为
●没有专用设施
●兼职的团队成员
●发生严重警报或事件时才激活
2.混合型SOC
混合型SOC是一种结合了内部团队和外部服务提供商的安全运营中心模型。在混合型SOC中,企业自身设立了一个内部的安全团队,同时也与外部的安全服务厂商合作。
其特点为
●专用和兼职的团队成员
●5*8小时运营
●与MSSP一起使用时,它是共同管理的
3.多功能型SOC/NOC
多功能型是企业在资源共享层面将SOC和NOC进行融合,这种模式存在诸如组织政策,预算和流程成熟度不同等因素,很可能导致工作人员执行多项任务(SOC和NOC)。
其特点为
●拥有专用设备及专业团队,可以执行安全工作,也能从同一设备执行其他安全工作
●7*24小时不间断运营
4.专业型SOC
拥有集中式专用基础设施、IT安全基础架构和团队。有相当高的独立性或完全独立于IT,有连续的日常安全操作所需的所有资源。通常适用于大型组织;服务供应商;高风险组织。
其特点为
●专用的基础设施
●自有的专业团队
●完全在内部运营
●7*24小时不间断运营
5.指挥型SOC
指挥型SOC适用于超大型组织的企业,具有较强的独立性。它强调决策的迅速性和高效性,通过专业的技术团队和集中化的决策,提供快速、精确的安全保护。通常适用于超大型组织;服务供应商;政府机构;军事组织;情报机构。
其特点为
●可协调其他的SOC
●提供威胁情报,态势感知和其他专业知识
●很少直接参与日常运营
以上五个类型针对企业不同的需求与问题,都有独特的优势,各种规模的企业都可以在以上一种类型中构建和维护SOC。
随着网络安全在大型企业中的作用逐年显著增加,SOC的出现完善了企业安全管理体系,它拥有更高效、更彻底的安全运营能力,能够有效地应对日益增长的安全威胁和挑战,保障企业的持续运营和发展。但安全是一个动态的过程,SOC的工作类型也不是一成不变的。
因此,SOC也需要不断地完善、持续地优化,才能最大限度地帮助企业应对日新月异的网络安全威胁,减少网络安全威胁对企业造成的危害和影响。
