构建强大SOC：抵御复杂网络威胁的关键之道

“网络安全威胁变得越来越复杂、精密、并且有着良好的组织结构和资金支持。人工智能（AI）驱动的工具和技术的广泛应用将导致定制化、高影响力的网络攻击。应对这种攻击的复杂性和精密性需要一个授权的安全运营中心（SOC）。 ”

SOC是一个容纳网络安全专业人员的设施，负责实时监控和调查安全事件，通过人员、流程和技术的组合来预防、检测和应对网络威胁。

SOC负责监控和保护组织的资产，包括知识产权、机密/人员数据、业务系统、关键基础设施和品牌声誉，使其免受网络安全威胁。SOC是组织的耳目，在发生可疑或异常网络安全事件时发出警报，并能够做出快速反应，减少对组织的影响。由于安全事件的不利影响，各组织正在寻找改进其SOC的方法，以减少其风险敞口，并确保其资产和数据的安全。

了解SOC的演变并建立一个成功有效的SOC可以大大提高检测和破坏网络攻击的能力，保护组织免受伤害。

SOC演进

过去，传统的网络运营中心（NOC）将以可用性为主要目标，专注于事件检测和响应。国家奥委会的主要职责是网络设备管理和性能监控。 如图1所示，最初，SOC是为政府和国防组织实施的。早期SOC的主要职责包括处理病毒警报、检测入侵和应对事件。2000年后，大型企业和银行开始实施类似的监测行动。

信息安全管理标准于2005年发布，并将合规性添加到SOC的目标中。为监控和响应添加了动态数据包过滤防火墙、反垃圾邮件和漏洞管理以及入侵防御等解决方案。

2007年至2013年是SOC演变的黄金时代。许多重要的安全解决方案，如数据泄漏防止（DLP）和安全信息与事件管理（SIEM），在此期间进入了网络安全生态系统。

此期间高级持久性威胁（APTs）的数量显著增加，2010年至2011年增长了81%左右，而SOC在检测和防止这些威胁方面发挥了重要作用。日志聚合、合规性管理、恶意软件分析和DLP是当时安全运营的关键目标。

托管安全服务提供商（MSSPs）也开始崛起，为IT和安全运营提供服务。作为一个共享模式，托管安全服务并不专门服务于单个组织或实体。MSSPs最初是由大型企业采用的，后来逐渐被对采用MSSPs满足其组织安全运营需求感兴趣的中小型组织所采用。

在SOC的演变过程中，下一代SIEM进入了安全生态系统和运营的领域。SIEM也被称为用户实体行为分析（UEBA），它基于机器学习（ML），是人工智能（AI）的一个子集。

组织在现有SIEM技术基础上部署了UEBA，以减少误报。SIEM是一种基于规则的技术，根据为规则设置的逻辑和阈值来工作。

阈值参数是SIEM技术的一个主要挑战，因为无法将阈值保持开放时间超过几小时。如果阈值开放时间过长，SIEM的性能将大幅降低。

自移动技术、自带设备（BYOD）和云采用以来，身份和访问成为安全管理的核心组成部分。UEBA/用户行为分析（UBA）技术利用身份和访问定义正常和异常的用户和实体行为。

由威胁情报、反向工程和基于AI/ML的监控技术驱动的安全运营改变了下一代SOC。在此期间，部署和由MSSP在客户场所运行的混合SOC出现。混合SOC也被称为远程SOC。

2015年，威胁情报平台（TIPs）、开源情报（OSINT）和商业威胁情报源成为安全运营的核心组件。

威胁情报丰富了事件的背景信息，并帮助安全分析师做出决策。威胁情报还提供了对对手战术、行为、工具和过程的可见性。基于战术、技术和程序（TTPs）的威胁搜索提高了SOC的价值，使其能够早期发现和消除隐藏的威胁。

安全运营的过程开始是以被动应对为主，然后转向积极主动，现在则采用了一个包含自动化的积极主动阶段。

在此期间，云迁移开始进行，并且云安全解决方案，如云访问安全代理（CASB），进入安全市场，以揭示IT和安全社区中的阴影IT和阴影数据。

SOC的监控责任扩展到包括云，并且在此期间复杂的威胁也增加了。云安全姿态管理（CSPM）、云工作负载保护平台（CWPP）、基于云的终端检测和响应以及基于云的威胁追踪是现代安全运营的新增功能。

在2015年之后，SOC被命名为网络防御中心（CDC）、网络融合中心（CFC）、网络安全运营中心（CSOC）、网络安全事件响应团队（CSIRT）和联合作战中心（JOC）。

安全运营的历程是从被动应对开始，然后转向积极主动，并且现在采用了一个包含自动化的积极主动阶段。

很快，超过50％的SOC将迁移到集成了自动化威胁追踪和事件响应能力的现代CDC。尚未开始安全运营历程的组织可以从MSSP（托管安全服务提供商）开始，然后转向混合SOC模型，最终实现自己的成熟SOC。现代的CDC或CFC提供以下服务：

安全事件监控、检测、调查和评估

恶意软件分析、逆向工程、数字取证、内部威胁和网络欺诈

威胁情报平台管理

威胁追踪

内容管理

威胁和漏洞管理

合规性

报告和通知

培训

身份和访问管理

SOC挑战 误报是SOC面临的最大挑战；SOC分析师50%以上的工作都用于处理误报。

日志源的集成、开箱即用的用例和未经验证的规则是导致误报的主要原因。

缺乏事件上下文和基于阈值的关联规则是安全分析师面临的挑战。自AI/ML监控解决方案集成以来，基于阈值的相关规则已被转换为ML模型。

这种威胁情报的集成解决了上下文缺失的问题。

随着时间的推移，SOC监控中添加了孤立的解决方案，安全分析师必须在多个控制台之间切换以应对事件。在短时间内培训人们掌握多种技术是不可能的。

记录和更新安全事件行动手册/运行手册以及维护最新的知识库需要付出大量努力，但对任何SOC来说都是关键。

多点解决方案增加了安全分析人员的事故数量。重复的任务和警惕疲劳是安全分析师离开安全行动岗位的主要原因。

默认情况下，传统的SIEM解决方案和下一代SIEM解决解决方案无法计算事件的平均检测时间（MTTD）和平均响应时间（MTTR）。需要手动操作来实现这些类型的计算和度量。

独立的虚拟专用网络（VPN）——实现对关键SOC系统的替代VPN访问是需要克服的最新挑战，以在基础设施受损时允许后备机制。

新威胁——双重勒索勒索勒索软件、使用人工智能技术的网络钓鱼、赎金分布式拒绝服务（DDoS）攻击和特权访问攻击等威胁给SOC团队带来了新的挑战。维护安全的通信信道和用于安全操作技术的独立VPN是需要克服的最新挑战。

安全通信——通常，SOC分析师在物理SOC中面对面通信。在家工作模式中，通信工件、证据和屏幕截图变得很有挑战性。

远程SecOps——SOC是物理站点，不能完全被虚拟环境所取代。

结论

尽管网络安全专业人员面临的威胁不断演变和扩散，但必须跟踪新出现的威胁，并调整新的意识形态来应对这些威胁，包括SOC的演变。这包括大流行的影响以及必须采用的克服技术，以使生理病毒不会耗尽人类互动的SOC。随着网络犯罪分子和国家资助的攻击者发起越来越复杂的攻击，窃取敏感数据并扰乱业务，SOC是365年7月24日全天候工作的专职一线团队。 SOC对当今数字化经济中的所有类型和规模的组织都至关重要，因为组织的许多运营和敏感数据都在网上和云中。打击网络犯罪需要一种现代的SOC行动方法，关键的最佳做法如下：

• 建立SOC治理、指标和报告。
• 通过制定人才战略、使用相关技术和创造好奇心文化，与合适的人一起投资建立SOC。
• 部署AI/ML系统和全面的威胁情报，以自动化高度重复和平凡的任务。
• 了解硬件/软件/网络/IOT/OT资产，并根据优先级不断减少漏洞和错误配置。
• 确保跨组织网络的持续可见性。
• 通过威胁搜寻、漏洞攻击模拟，建立主动的事件检测和补救措施。
• 使用Cyber Range和模拟解决方案，持续培训SOC分析师的实践知识。
• 使用网络安全评估和SOC成熟度评估，不断测试和更新SOC检测/预防策略。
• 与IT和业务部门合作，使SOC战略与业务战略保持一致。
• 持续调整和修改网络安全防御。