Search

如何正确部署安全运营中心

学习如何去成功的部署一个安全运营中心(SOC)


 

什么是安全运营中心(SOC)?

SOC (Security Operation Center)是一个依赖软件和有组织性的安全分析师来检测/分析/报告和预防网络安全事件的一个实体。

为了执行这些任务,SOC 依赖于大量数据的实时分析。

如同 GBHackers 的这篇文章解释的那样,“一个组织想要被视为 SOC,它必须为成员提供一种方法来报告可疑的网络安全事件/向其成员提供事件处理协助,以及向利益相关者(相关厂商)和外部各方传播事件信息。”

部署一个 SOC 之前需要做好什么准备?

定义需求

在部署之前,设计一个 SOC 必须满足特定的需求,这个需求对于每一个公司来说都是独一无二的。没有哪两家公司的 SOC 是相同的。对于某些实体,部分的需求来源于国家的监管要求。在欧洲的层面,NIS(Network Information Service,网络信息服务)使一些公司将有资格成为某些服务的提供商。

 

对于数据收集的思考

除了一些国家以及国际法律规定的规则以外,此设计还将基于多项研究。这些研究旨在定义检测的规则(在下面将会专门介绍一段)。它们旨在涵盖基于最可能设计最多人的用例(例如说网络钓鱼/恶意软件等等)或更具体到每一个上下文场景的风险。因此 SOC 确定了与标准的不同之处。

 

为了收集设计检测规则所需的数据,需要:

▪.   进行风险分析

▪.   确定可收集的数据并涵盖分析的过程中确定的风险

 

对于组织的思考

构建一个 SOC 需要一个非常复杂的组织,因为它需要保持24/7/365全天候的运行模式。在招聘和组织方面提出某些问题的前提背景:没有分析师就没有 SOC。

SOC:构建的阶段

一旦收集到上述所需要的信息,那么这个构建的阶段就开始了。这个阶段是相当技术性的,因为它是 SIEM 或安全信息管理以及事件管理的配置。SIEM 是为了满足各公司的需求和安全环境,或者说用来检测事件或异常的。

为此它必须收集数据。

SIEM:什么样的数据应该被收集?

最主要的构建过程:

▪.   去设定 SIEM

▪.   确保数据收集

▪.   提取以及规范化数据

▪.   使用上下文的信息丰富数据

▪.   设置关联的规则

 

数据收集信息的来源多种多样,包括:

▪.   应用程序

▪.   用户的工作站和终端(如果所在的公司使用了 EDR 设备)

▪.   基础设施以及安全设备(中继器/防火墙/防病毒软件等等)

▪.   在云上或在现场的物理/虚拟/现场的 Windows/Linux 服务器

▪.   连接的对象以及工业化系统等等

SIEM:你应该如何去确定检测规则?

检测场景的实现是一个非常复杂的过程。这些都是基于对收集的数据的分析以及相关性。

为确保公司正常的场景,将建立基础架构规则和所谓的“业务”规则。这些规则必然会根据现场的实际情况,特别是根据威胁的状态而变化,并计划对日志的永久性检测。

SOC / SIEM:管理错误警报

SOC 设计用于在检测到异常的时候生成警报。但是这些警报并非是正确的警报,也有可能存在错误警报的可能性。也就是说它们并不是真正的威胁。为了尽可能地限制这些错误警报,需要精确定义威胁和场景的操作。

配置不当的 SIEM 将会浪费大量的分析时间。因此最好花掉一些必要的时间来确定公司的配置。

应该指出的是,将警报结合威胁情报仍旧是现调查阶段最有效的解决方案。

SOC 运行阶段的管理

在公司中的部署 SOC 经历了运行阶段:这是 SOC 的开始。这是一个确保能够获得警报以及开始调查的阶段。

如上所述,SOC 必须一直运行。而这需要人力资源,需要分析师、操作员和专家来管理并监控 SOC。在此运行阶段,你可以使用多个选项。你可以选择组建一个内部团队或聘请一个外部团队的服务。

也可以在公司的基础设施内部署 SIEM。但是许多公司则会选择云部署。同时负责 SOC 的人员的组织必须进行更彻底的研究相关方法和法规,来实现昼夜轮换的管理。

同时,在法国,2020年一名初级 SOC 分析师的平均年薪约为38,000欧元。为了保证能够全天候运营,这一家公司的每个团队至少需要六名分析师,这意味着每年至少需要23万欧元。除了这些成本外,还包括招聘、管理和培训技能的成本,以及软件和基础设施的获取、开发或集成的成本,这些软件和基础设施的维护都必须在操作安全的条件下得到保证。并且还需要考虑建立系统运行时所需的时间。

因此,并非所有公司都有能力构建 SOC。因此,他们转向网络安全服务提供商。

自动化警报管理

将运行 SOC 所涉及的一些繁琐任务并为自动化对操作员和分析人员将有很大帮助。市场上存在许多自动化工具,包括用于警报管理的工具。其他的仍旧还在开发中。根据它们的实际性能和成熟度来选择它们就变得十分重要。

然而,编排检测系统的效率和成熟度方面是自动化告警管理的实施的先决条件。


结论:配置良好的 SOC 是检测威胁的最佳搭档。此外,必须由了解业务环境并有经验的专家团队定期进行检验和更新检测并且关联规则。安全是一个过程,而不是一个产品。