為了跟上快速發(fā)展的威脅形勢，組織必須不斷努力提高其安全運(yùn)營的效率。在今天的博客中，我們將通過分解成功的SOC設(shè)計(jì)背后的基本原理，為優(yōu)化您的安全運(yùn)營中心(SOC)奠定基礎(chǔ)。

什么是SOC？

SOC旨在通過快速有效地識別、分析和響應(yīng)安全威脅來保護(hù)公司免受安全漏洞的影響。直到過去十年，SOC還是一個(gè)物理房間或指揮中心，安全團(tuán)隊(duì)的不同成員在這里工作。這可能包括物理和網(wǎng)絡(luò)安全團(tuán)隊(duì)，由安全分析師、安全工程師和負(fù)責(zé)安全運(yùn)營、藍(lán)隊(duì)活動和DevSecOps的個(gè)人組成。紅隊(duì)成員雖然也是安全團(tuán)隊(duì)的一員，但由于他們的對抗角色，他們通常在其他地方工作。

由于高昂的運(yùn)營成本以及為安全運(yùn)營構(gòu)建儀表和管理平面的挑戰(zhàn)，在過去十年之前，只有大型企業(yè)擁有SOC。今天，由于SOC運(yùn)營模式的廣泛接受以及開源和其他工具的興起，許多中型組織現(xiàn)在投資于小型SOC，以自動化和簡化許多SOC運(yùn)營。

越來越多的組織選擇虛擬或混合SOC，以實(shí)現(xiàn)更好的全球覆蓋，并為喜歡部分或全部時(shí)間在家工作的高技能員工提供服務(wù)。一些企業(yè)還將SOC運(yùn)營外包給托管安全服務(wù)提供商，后者利用機(jī)構(gòu)知識和規(guī)模經(jīng)濟(jì)來保護(hù)使用同一組工具和安全團(tuán)隊(duì)的多個(gè)企業(yè)。無論是虛擬的、物理的還是外包的，SOC都充當(dāng)統(tǒng)一元素，它結(jié)合了所有必要的信息和資源，以提高組織內(nèi)的績效和加強(qiáng)數(shù)據(jù)共享。

SOC 做什么？

SOC是組織安全戰(zhàn)略的尖端，但它也包含許多必須經(jīng)過精心設(shè)計(jì)和協(xié)調(diào)的子系統(tǒng)。此外，SOC必須與其他團(tuán)隊(duì)密切合作，包括IT、人力資源、法律、合規(guī)和財(cái)務(wù)。在某些情況下，由于職責(zé)重疊以及網(wǎng)絡(luò)安全在安全態(tài)勢中發(fā)揮的不可或缺的作用，SOC與網(wǎng)絡(luò)運(yùn)營中心位于同一地點(diǎn)。

為了提高效率并加強(qiáng)SOC與組織內(nèi)其他部門之間的協(xié)作，首先了解SOC的主要職責(zé)很重要：

維護(hù)安全工具和控制。這通常由安全工程師處理，他們不斷調(diào)整控制以減少安全漂移并阻止新的攻擊。它們還有助于促進(jìn)補(bǔ)丁管理工作。

測試和驗(yàn)證安全控制和安全態(tài)勢保真度。這是藍(lán)隊(duì)、漏洞管理團(tuán)隊(duì)，有時(shí)是安全工程師的責(zé)任。

分析潛在威脅，為戰(zhàn)略和戰(zhàn)術(shù)方法提供信息。這是威脅建模和安全情報(bào)團(tuán)隊(duì)的任務(wù)。

調(diào)查入侵指標(biāo)(IOC)或可疑活動。事件響應(yīng)團(tuán)隊(duì)（通常是藍(lán)隊(duì)）調(diào)查網(wǎng)絡(luò)和系統(tǒng)中的可疑和惡意活動。

提高SOC效率

現(xiàn)代SOC是一個(gè)復(fù)雜的環(huán)境，具有數(shù)十種工具、重疊的團(tuán)隊(duì)以及需要保護(hù)的不斷增長的攻擊面。為了應(yīng)對這些挑戰(zhàn)并跟上快速發(fā)展的威脅形勢，安全領(lǐng)導(dǎo)者必須不斷努力提高SOC效率并保持團(tuán)隊(duì)成員的參與。

審核編輯：劉清