行业动态 INDUSTRY DYNAMICS

什么是安全运营中心（SOC）

安全运营中心（SOC），也称为信息安全运营中心（Information Security Operations Center，ISOC），是一个集人员、流程和技术于一体的中心，负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动，以实时发现潜在的威胁；对网络安全事件进行预防、分析和响应，以改进企业的网络安全态势。SOC还可通过收集最新的威胁信息，跟踪基础设施和攻击团伙的情况，提前部署安全工作，在攻击者利用漏洞之前识别和修复系统或流程的漏洞。

SOC有什么作用？

企业可以根据需求配置SOC的功能。一般来说，SOC的功能分为三部分：

SOC的三个主要功能

预防
- 资产清单：SOC使用资产发现工具对企业中需要保护的系统、应用程序、数据库、服务器等以及用于保护企业的安全工具进行盘点，识别漏洞。
- 漏洞评估：SOC进行漏洞评估，评估企业的软硬件资源的漏洞和相关成本，并进行渗透测试，SOC根据测试结果来更新安全策略或威胁事件响应计划。
- 预防性维护：为了最大限度地提高现有安全工具和措施的有效性，SOC可以进行补丁安装和升级、更新防火墙、白名单和黑名单以及安全策略和程序。SOC还可创建系统备份，以确保在数据泄露、勒索软件攻击或其他网络安全事件发生时的业务连续性。
检测
- 日志采集和分析：SOC通过防火墙等设备或检测系统等工具采集日志数据，进行分析，识别异常活动。
- 威胁检测：SOC从日志数据中识别可疑活动及其他入侵指标（Indicators of Compromise，IoC）告警。IoC可以表明恶意软件类型、可疑的DNS请求等信息及元数据，有助于识别攻击者和攻击动机。
- 安全信息和事件管理（Security Information and Event Management，SIEM）：SOC中经常内置SIEM工具，以实现威胁的自动化处置。SIEM可以进行日志数据汇总、告警监测、安全事件分析等。
保护
- 威胁响应与修复： SOC负责制定企业的事件响应计划，通过隔离受感染设备、删除恶意文件、运行防病毒软件等措施来应对威胁，并进行根因调查和分析。SOC可以基于调查结果来改进现有的安全策略。
- 合规性报告：攻击发生后，SOC将受到破坏的数据数量和类型上报有关当局，确保企业遵守数据隐私法律法规。

网络安全事件通常由具备必要技能的SOC员工来识别和响应。该团队还会与其他部门或团队合作，与利益相关者共享事件的信息。一般来说，SOC全天候运行，员工轮班工作以处理威胁并管理日志活动。有时企业还会聘请第三方提供商提供 SOC 服务。大多数SOC采用分层结构来处理安全事件，不同层级的分析人员经验和技能不同。典型的团队结构如下：

事件分类事件分类是 SOC 的第一层。

第一层级的分析人员通常来说经验最少，主要负责对发现的安全事件进行分类并确定事件的严重程度，包括确定事件来源、确定事件范围以及评估事件影响。此外，还负责提供初步响应和处置措施，并在必要时将事件升级到更高级别。

事件调查事件调查是 SOC 的第二层。

第二层级的分析人员的专业能力更强，负责调查安全事件并确定事件的根本原因，包括分析日志、网络流量和其他数据源以识别事件来源。此外，还负责提供详细的事件报告和修复建议。

威胁搜寻威胁搜寻是SOC的第三层。

第三层的通常由高级安全分析专家组成，主要负责搜寻企业网络中的威胁，使用先进的检测工具来识别漏洞，并提出改进企业整体安全性的建议。此外，还负责确保企业的威胁处置方法遵守行业和政府的法律法规。

通过使用正确的工具和聘请合适的分析人员来监控和管理企业网络，SOC可以检测和阻止威胁，并提高企业网络的安全性。

SOC常用的工具和技术

SOC使用各种工具和技术进行预防、事件记录、自动化、检测、调查、编排和响应等操作。SOC常用的工具和技术主要有以下几种：

安全信息和事件管理（SIEM）SIEM是SOC中最重要的工具之一。SIEM可聚合来自多个安全工具和日志文件的数据，通过威胁信息分析和人工智能技术，帮助SOC检测不断变化的威胁，加快事件响应速度，领先于攻击者。
安全编排自动化和响应（Security Orchestration, Automation and Response，SOAR）SOAR可自动执行重复和可预测的威胁事件响应和修复任务，腾出时间和资源以便进行更深入的调查和搜索。
扩展检测和响应（Extended Detection and Response，XDR）XDR 将安全工具集成到企业的整个混合基础设施中，将预防、检测、调查和响应结合起来，提供威胁可视化、威胁分析、事件告警和自动响应等能力，以提高数据安全性并对抗威胁。
防火墙防火墙可监控进出网络的流量，根据SOC定义的安全规则允许或阻止流量。
日志管理作为SIEM的一部分，日志管理会记录企业软件、硬件和终端的所有日志。从这些日志中，可获得网络活动的信息。

用户实体行为分析（User and Entity Behavior Analytics，UEBA）UEBA内置在许多安全工具中，通过人工智能技术分析从各种设备收集的数据，为每个用户和实体建立正常活动的基线。当偏离基线的活动发生时，该活动将标记为需要进一步分析。

漏洞管理漏洞管理工具会扫描网络，有助于识别出攻击者可能会利用的漏洞。

SOC的价值

SOC对企业的价值体现在以下几点：

确保合规性：SOC可以确保企业遵守行业、国家和全球隐私法规。

全天候监控：网络威胁无处不在，要最大限度地降低企业面临的网络安全风险，就必须对企业的基础设施和数据进行全天候监控。SOC能对网络威胁进行全天候监控，并能立即对威胁事件进行响应。

威胁可视化：随着企业网络日益复杂，维护整个网络的可视化和安全性变得更具挑战。SOC可提供展示企业网络基础设施和潜在攻击的直观视图。

改进预防措施和安全策略：通过统一和协调企业的安全工具、安全实践和对安全事件的响应，SOC能够改进企业的预防措施和安全策略。

更快的威胁检测和响应： SOC可以提高企业的威胁检测、响应和预防能力，从而更快、更有效、更具成本效益地检测和应对安全威胁，减轻威胁对企业业务的影响。

提高客户信心：SOC可以提高客户对企业保护数据能力的信心。

NCD SOC相关的解决方案

云御安全运营中心解决方案由网络安全运营中心系统由网络安全统筹协同管理系统组成。该解决方案运用大数据技术汇聚全网安全数据，构建集多维数据采集、态势感知、响应处置、运营管理为一体的安全运营中心，实现“统一安全运营管理、统一安全策略管控、统一安全威胁监测、统一安全运维”的四个统一管控。

其总体逻辑框架主要包含如下四方面内容：

运营管理：统一运维运营系统实现对安全事件的溯源、工单派发、闭环处置等安全生命周期管理。
数据采集：对各类安全日志数据进行采集、管理、检索和关联分析，这些数据包括但不限于安全设备、网络设备、中间件、操作系统、数据库、应用层等所有日志。
策略控制：策略控制实现对安全告警、风险、安全态势等信息汇聚，并进行关联分析、智能推理、分析研判和决策，形成安全防护控制策略和业务安全控制策略，基于决策结果进行服务的编排、调度和配置。
态势感知：态势感知是安全大数据的具体应用，包含安全态势、安全审计、安全风险评估和安全风险预警等功能。