日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
建立安全運(yùn)營中心(SOC)設(shè)計運(yùn)營模式

了解組織試圖防御的威脅以及需要監(jiān)控的資產(chǎn)后,現(xiàn)在可以開始考慮運(yùn)營模型應(yīng)包括哪些內(nèi)容。

沙依巴克網(wǎng)站制作公司哪家好,找成都創(chuàng)新互聯(lián)公司!從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項目制作,到程序開發(fā),運(yùn)營維護(hù)。成都創(chuàng)新互聯(lián)公司于2013年開始到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運(yùn)維經(jīng)驗,來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司。

下圖概述了 SOC 在攻擊復(fù)雜性和攻擊量方面的各種典型功能。盡管這很難說明和預(yù)測,但此圖可以用作粗略指南,幫助您推斷應(yīng)達(dá)到的能力水平。

SOC能力矩陣

可能對攻擊量沒有任何真正的了解,但在這個階段,它并不那么重要,主要結(jié)果需要定義與組織相稱的能力級別,考慮到威脅概況中攻擊的潛在復(fù)雜性。

請記住,這是累積性的,因此如果認(rèn)為組織將成為高度復(fù)雜的對手的目標(biāo),將需要確保 SOC 具有上述所有功能。在此示例中,為了支持威脅搜尋,需要確保擁有成熟的用例開發(fā)能力等等。

本指南的檢測部分詳細(xì)介紹了這些功能實際包含的內(nèi)容。

SOC 支柱

設(shè)計 SOC 操作模型時的一個有用方法是將其分為以下關(guān)鍵支柱。

通知 SOC – 可以在此處放置威脅情報等功能,其中輸出應(yīng)用作 SOC 功能的指導(dǎo)。在較小的 SOC 中,這可能只是第三方情報源。

開發(fā)能力——在這里,可以獲取通知功能、SOC 需求或分析師想法的輸出,并將它們轉(zhuǎn)化為技術(shù)檢測能力。還可以將工程團(tuán)隊納入此處,以確保 SOC 能力得到維護(hù)和改進(jìn)。

檢測和響應(yīng)——這是大多數(shù) SOC 的基礎(chǔ),當(dāng)檢測到異常、惡意或可疑的情況時,SOC 需要對其做出響應(yīng)。這是由事件響應(yīng)或事件管理等團(tuán)隊管理事件的地方。

支持 SOC – 根據(jù)組織規(guī)模或 SOC 范圍,可能需要支持功能。這是客戶關(guān)系管理或系統(tǒng)入門的所在地,通常會根據(jù)需要調(diào)用其他技術(shù)功能。

圖片

SOC 流量

如圖所示,通過建立這些鏈接,每個支柱都會相互影響,避免信息和知識孤島,從而使 SOC 成熟并應(yīng)對不斷變化的威脅形勢。

SOC功能

幫助了解運(yùn)營模型設(shè)計中可能需要包含哪些功能;下面列出了最常見的核心 SOC 功能。請注意,這些流通中的函數(shù)可能有不同的名稱,并且某些函數(shù)可能會合并。

威脅情報 (TI) – 該功能應(yīng)向 SOC 提供有關(guān)組織和 IT 資產(chǎn)當(dāng)前網(wǎng)絡(luò)威脅的信息。這通常包括妥協(xié)指標(biāo) (IOC) 和有關(guān)威脅行為者的定性信息。

威脅追蹤——該功能旨在對規(guī)避現(xiàn)有安全控制的網(wǎng)絡(luò)威脅進(jìn)行主動、迭代和以人為中心的識別。

內(nèi)容開發(fā)或分析– 該團(tuán)隊將可操作的威脅情報轉(zhuǎn)化為 SOC 工具中的程序化檢測規(guī)則。然后,這些信息又被用來識別系統(tǒng)和服務(wù)中的可疑行為。

工程– 該團(tuán)隊通常負(fù)責(zé) SOC 工具的維護(hù)、日志的技術(shù)安裝(有時稱為管道)并確保所有系統(tǒng)都在運(yùn)行。

事件響應(yīng)或處理——該團(tuán)隊通過調(diào)查事件的根本原因來響應(yīng)安全事件。他們的主要目標(biāo)是確定事件是否應(yīng)升級為安全事件。

事件管理 (IM)  – 當(dāng)事件被確認(rèn)為安全事件時,SOC 會將事件傳遞給其 IM 團(tuán)隊(可以是靜態(tài)團(tuán)隊,也可以是響應(yīng)的動態(tài)團(tuán)隊)。該團(tuán)隊將承擔(dān)從通信到技術(shù)反應(yīng)的多種職責(zé),所有這些都是為了減少影響并控制安全事件造成的損失

除了這些核心功能之外,一些組織可能會向 SOC 添加其他功能:

漏洞管理- 識別和管理資產(chǎn)內(nèi)漏洞所需的 SOC 將需要截然不同的資源(例如,用于測試、修補(bǔ)和評估系統(tǒng)構(gòu)建的專業(yè)知識和工具)。這將要求 SOC 與系統(tǒng)進(jìn)行更多的交互,這也意味著更大的責(zé)任。重要的是,在設(shè)計中捕獲此功能所需的額外資源。

內(nèi)部威脅- 與僅針對外部威脅的 SOC 相比,需要檢測和響應(yīng)內(nèi)部威脅的 SOC 也將具有不同的設(shè)置。它們并不相互排斥,但由于監(jiān)控員工是一個敏感主題,因此執(zhí)行此類任務(wù)的任何功能(特別是工具集)都應(yīng)該隔離。這是因為 SOC 及其員工以及其他業(yè)務(wù)系統(tǒng)和員工可能會受到安全監(jiān)控和調(diào)查,以應(yīng)對安全事件。

地點(diǎn)

大多數(shù) SOC 都會外包一些操作,即使這只是您的工具將用于檢測的簽名。

發(fā)展內(nèi)部職能有很多好處,包括更好的業(yè)務(wù)背景意識,這將有助于任何需要進(jìn)行的調(diào)查。

然而,從業(yè)務(wù)角度來看,如果很少使用某個功能,或者 SOC 根本沒有資源在內(nèi)部實現(xiàn)該功能,那么將其外包也可能是有效的。

在考慮外包 SOC 的哪些組件時,確定這樣做的利弊非常重要。下表旨在幫助您思考這些決定。

例子

內(nèi)部

外包

優(yōu)點(diǎn)

缺點(diǎn)

優(yōu)點(diǎn)

缺點(diǎn)

威脅英特爾 (TI)

更好的商業(yè)環(huán)境。 可以尋找與特定相關(guān)威脅相關(guān)的情報。

資源密集型。成本。

通常,大量的 TI 在許多組織之間共享,形成一個廣泛的網(wǎng)絡(luò)。

可能非常通用。缺乏商業(yè)背景。

數(shù)字取證和事件 (DFIR)

更好的業(yè)務(wù)環(huán)境 和更快的設(shè)備訪問。

并不總是需要。

需要時可以調(diào)用。

可能缺乏業(yè)務(wù)背景。事件響應(yīng)延遲。

該表并非詳盡無遺。目的是展示決定哪些組件可以外包的過程。

資源

在嘗試實施運(yùn)營模式時,找到合適的人選可能是最大的限制之一。

在這個領(lǐng)域,運(yùn)營模式實際上是一個目標(biāo)。因為可能需要時間來找到合適的人員或培訓(xùn)現(xiàn)有員工來提供所需的服務(wù)。

通過定義威脅概況并了解 SOC 的范圍,應(yīng)該能夠評估交付威脅概況所需的資源數(shù)量。就像設(shè)計過程一樣,這可能需要多次迭代才能正確。

不可能準(zhǔn)確規(guī)定需要哪些人員或技能,但是,有一些關(guān)鍵考慮因素:

技能

SOC 分析師所需的具體技能將受到所采用的攻擊檢測方法的影響。

但是,應(yīng)該確保整個團(tuán)隊擁有交付決定的檢測方法所需的廣泛技術(shù)技能和經(jīng)驗。

如果團(tuán)隊能夠理解攻擊者的心態(tài),這將非常有用。了解攻擊者如何瞄準(zhǔn)并嘗試?yán)孟到y(tǒng)是檢測和響應(yīng)的基礎(chǔ)。

SOC 分析師

優(yōu)秀的分析師是有效 SOC 的核心,他們有能力適應(yīng)不斷變化的環(huán)境,邊學(xué)習(xí)邊研究攻擊者下一步可能會做什么。對 SOC 工作人員的投資將會帶來回報。

分析師應(yīng)根據(jù)業(yè)務(wù)需求和當(dāng)前情況進(jìn)行指導(dǎo)。然而,您應(yīng)該警惕對分析師進(jìn)行分類和隔離任務(wù)。這通常會導(dǎo)致分診疲勞、工作滿意度差以及安全性差等問題。

下圖類似于分析師如何參與檢測用例的開發(fā)。從了解威脅情報中的威脅、在內(nèi)容開發(fā)團(tuán)隊中開發(fā)用例以及對事件處理中的任何事件進(jìn)行分類。接觸所有這些領(lǐng)域是非常有價值的。

圖片

分析師輪換

讓分析師參與并了解 SOC 生命周期通常會帶來更好的安全性。這是因為他們將更多地接觸系統(tǒng)、威脅情報、檢測、警報的背景,并鼓勵更大的協(xié)作和協(xié)同作用。這種經(jīng)驗的拓寬不應(yīng)凌駕于任何學(xué)科專業(yè)之上,應(yīng)充分利用這些專業(yè)知識,但在可能的情況下,應(yīng)優(yōu)先考慮技能多樣化。

治理

應(yīng)考慮 SOC 在組織結(jié)構(gòu)中最適合的位置。確保報告關(guān)系和監(jiān)督適合正在執(zhí)行的工作非常重要。作為此過程的一部分,SOC 將需要確定正在報告哪些指標(biāo)。指標(biāo)可以隨著時間的推移而發(fā)展,以滿足組織不斷變化的需求。

管理 SOC 的運(yùn)營需要強(qiáng)有力的治理,以確保 SOC 合法運(yùn)營、遵守法規(guī)、組織政策并確保 SOC 權(quán)力不被誤用或濫用。SOC 無疑會面臨諸如“你能告訴我員工 x 一整天都在做什么嗎”之類的問題,而回答該問題可能不屬于安全運(yùn)營中心的職權(quán)范圍。

定義該線的位置將取決于需求,但請注意,將資源從檢測安全事件轉(zhuǎn)移出去可能會對 SOC 的整體功能產(chǎn)生不利影響。

SOC通常可以制定運(yùn)營原則來確保其工作合法,例如:

  • SOC將在法律、相關(guān)法規(guī)、組織政策等范圍內(nèi)運(yùn)作。
  • 敏感數(shù)據(jù)只會被收集/搜索/索引,以檢測可能損害組織聲譽(yù)、繁榮和安全的惡意、可疑或濫用行為。
  • 數(shù)據(jù)只會保留到不再需要為止或最多 x 個月。

進(jìn)一步的考慮

此時,SOC 設(shè)計的各個部分應(yīng)該結(jié)合在一起,但當(dāng)然還有進(jìn)一步的考慮。

持續(xù)改進(jìn)

持續(xù)改進(jìn)對于 SOC 的成功至關(guān)重要,因為它們所處的環(huán)境和面臨的對手都在不斷變化。

這些挑戰(zhàn)分為三大類:

  • 不斷變化的環(huán)境——組織很可能會不斷發(fā)展,業(yè)務(wù)可能會發(fā)生變化,對攻擊者更具吸引力。試圖保護(hù)的資產(chǎn)可能會發(fā)生變化,從而導(dǎo)致監(jiān)控能力出現(xiàn)缺口。如果將審核周期納入 SOC 流程中,應(yīng)該能夠掌握這一點(diǎn)。
  • 不斷變化的威脅形勢——攻擊者不斷更新他們的方法,動機(jī)可能會改變。這就是威脅情報發(fā)揮作用的地方。
  • 保持檢測有效性- 所有檢測方法都需要 SOC 來構(gòu)建和維護(hù)其檢測方法,以保持有效。這包括構(gòu)建新的安全警報邏輯并投資于分析師的持續(xù)發(fā)展。

營業(yè)時間

雖然網(wǎng)絡(luò)攻擊可能發(fā)生在一天中的任何時間,但在決定需要運(yùn)行的時間時,需要考慮一些重要的因素。例如,維護(hù) 24/7 的 SOC 將比 9-5 且非工作時間待命的操作需要更多的員工。雖然 24/7 提供全天候監(jiān)控,并且可能適合高威脅場景,但 9-5 操作仍然比根本沒有 SOC 提供多 100% 的監(jiān)控。

  • 其他 IT 職能部門的工作時間是多少? 大多數(shù)重大事件都需要其他 IT 職能部門參與響應(yīng)??紤]這些團(tuán)隊的工作時間。如果其他 IT 功能僅朝九晚五地覆蓋且沒有值班安排,則 24/7 SOC 的效率將大大降低。
  • 組織是否已經(jīng)擁有可以接收高優(yōu)先級安全警報的 24/7 IT 職能?有些組織已經(jīng)由另一個 IT 團(tuán)隊(例如數(shù)據(jù)中心運(yùn)營團(tuán)隊)執(zhí)行 24/7 全天候覆蓋。考慮將高優(yōu)先級的非工作時間安全警報發(fā)送給該團(tuán)隊進(jìn)行初步分類,然后再升級給 SOC 分析師。
  • 考慮向非工作時間待命的SOC分析師發(fā)送高優(yōu)先級警報。 或者,如果確定需要立即響應(yīng)潛在事件的能力,請考慮使用警報自動通知待命的 SOC 分析師。

SOC安全

保證SOC內(nèi)的數(shù)據(jù)和服務(wù)的安全至關(guān)重要,因為SOC收集的信息可能被認(rèn)為非常敏感,因此對于威脅行為者而言將成為有吸引力的目標(biāo)。這些信息可能包括有關(guān)組織的敏感信息、個人身份信息 (PII)、財務(wù)數(shù)據(jù),甚至是在 IT 資產(chǎn)中實施的安全控制的詳細(xì)信息。

此外,如果惡意行為者能夠訪問這些信息,他們就可以通過訪問或修改這些信息來隱藏他們的蹤跡,增強(qiáng)他們的攻擊,甚至逃避任何事件后的清理操作。

SOC 安全性的一些關(guān)鍵考慮因素包括:

  • 敏感數(shù)據(jù)- 這是一個難以控制的方面,尤其是在需要保護(hù)大量客戶和系統(tǒng)的SOC中。重要的是,SOC必須在其法律和監(jiān)管要求范圍內(nèi)運(yùn)作,并確保采取適當(dāng)?shù)目刂拼胧﹣韴?zhí)行這一要求。這可以是數(shù)據(jù)攝取的驗證或檢測敏感數(shù)據(jù)的警報。
  • 隔離- 應(yīng)該隔離SOC服務(wù),這樣,如果您的 IT 資產(chǎn)的某個組件受到損害,攻擊者將無法直接訪問SOC數(shù)據(jù)。
  • 職責(zé)分離- 擁有高權(quán)限管理員賬戶的用戶可能會在組織內(nèi)執(zhí)行惡意活動。因此,SOC服務(wù)應(yīng)駐留在單獨(dú)的安全域中。這意味著將檢測到利用管理員賬戶的任何潛在攻擊,并且威脅行為者將無法影響審計跟蹤。
  • 審計- SOC服務(wù)的用戶(SOC工作人員)必須承擔(dān)責(zé)任,這一點(diǎn)很重要。這可以通過創(chuàng)建可以報告SOC操作并發(fā)出警報的特權(quán)賬戶和功能來完成。根據(jù)良好的安全實踐,這應(yīng)該遵循最小特權(quán)原則,并且對此的訪問應(yīng)該受到極大的限制。

分享文章:建立安全運(yùn)營中心(SOC)設(shè)計運(yùn)營模式
URL地址:http://www.5511xx.com/article/dhsehss.html