在如今严峻的网络安全形势中,一个良好运作的SOC(Security Operation Center,安全运维中心,以下统称“SOC”)无疑为组织省去很多安全事件带来的烦恼并提供了切实可行的威胁防护措施。SOC不仅提供集中式安全事件监控以及威胁检测和响应功能,并且可以支持其他安全操作功能和业务要求。本文通过分析国内外主流的SOC平台产品及行业实践,详细讨论在当今复杂的网络环境下不同的SOC模型特点及其适用的范围。

内容摘要

  • 组织通过SOC来提供各种安全操作功能,其核心价值可以总结为一点:对内外部威胁监控、检测和响应;

  • 对大多数组织而言,构建、实施、运行和维护一个7X24的SOC成本过高;

  • 具有复杂用例和广泛安全操作的大型组织正在将传统的安全操作与更全面的功能集成在一起;

  • 如果SOC的可交付成果与业务用例、风险和结果不紧密相关,则SOC将无法完成其使命,即高效与安全;

  • 与外部供应商合作的混合SOC模型是一种可靠的选择,越来越多的组织(尤其是中型企业)采用这种选择。

一、SOC平台简介

Gartner将SOC定义为一个团队,该团队通常是昼夜不停地工作以提供7x24小时的覆盖范围,并且有专用的物理/虚拟设施(基础架构),以帮助预测、预防、检测、评估和应对安全威胁与事件。SOC不是网络运营中心(NOC),NOC专注于网络设备管理和性能监控,而不是检测和响应安全事件。尽管这些功能是由独立的团队执行的,但在实际工作中通常需要两者相互协作。尽管大多数托管安全服务供应商(MSSP)都提供来自单个或多个SOC的服务(同时为多个客户提供服务),但使用MSS与拥有SOC在本质上是不同的。托管服务是一种共享资源,不仅仅专用于单个组织或实体。混合SOC通常表示由MSSP使用本地部署的资源(有时是从远程SOC扩展)在客户的场所部署和运营SOC。

SOC可用于提供以下功能,其中安全事件监控是SOC中最常见的功能,其他功能可以由外部服务供应商覆盖:

  • 安全事件监控、检测、调查和警报分类

  • 安全事件响应管理,包括恶意软件分析和取证分析

  • 威胁情报管理(收集、融合和传播)

  • 威胁搜寻

  • 安全设备管理与维护

  • 威胁和漏洞管理

  • 安全培训

  • 合规报告/管理

然而,如今在SOC中执行安全培训和合规性报告/管理功能并不常见。TI和威胁搜寻是当今SOC中新兴的流行功能。实际上,一些组织甚至试图在其SOC中包括操作技术(OT)和工业控制系统(ICS)安全监控。

以上所定义的SOC卓越属性全部大部分依赖于人员的素质而不是数量以及流程的成熟度。技术的作用是使人们能够执行适当的流程和程序。根据Gartner的研究结果,若要提供完整功能和能力并且以7x24运行的自建SOC,至少需要8到12名全职员工,并且要考虑管理能力,人员流动,个人休假或其他特殊活动等因素。

理想情况下,SOC应该位于专用的物理环境中(例如,隔离的房间),并且需要更高的物理访问级别。由于事件调查的敏感性,以及篡改潜在证据和隐藏恶意痕迹的可能性,因此仅需授权人员才能对设备进行物理访问。SOC的基础结构(网络,系统,应用程序)应与生产网络隔离或为防止内部违规影响SOC的运作进行分割。此外,用于SOC内部监控和调查的技术基础设施应与互联网隔离开来。最后,SOC通常会拥有自己的独立Internet连接,这样即使公司网络受到分布式拒绝服务(DDoS)攻击,它也可以继续运行并执行调查。但是,根据Gartner调研,情况并非总是如此。尽管如上所述,一些组织使用高度的物理保护和隔离来构建、管理SOC,但是大多数组织还是选择传统的办公环境和简单的隔离措施。

除了防火墙,网络入侵检测和防御系统(NIDPS)和端点保护平台(EPP)等典型的预防技术之外,SOC还应利用广泛的技术堆栈来提供安全信息收集,分析和事件管理功能。安全信息和事件管理(SIEM)解决方案是最常见的平台,是SOC的核心技术。端点检测和响应(EDR)解决方案越来越多地添加到SOC“武器库”中,用于收集主机级监控数据,便于实时响应和取证溯源目的。还有另外一种高级分析和威胁检测工具可以整合进SOC工具集中,那便是网络流量分析(NTA)解决方案,该工具通常用于调查警报并获取有关网络中可疑活动的其他上下文。

安全编排,自动化和响应(SOAR)工具也正在进入SOC(或者成为整合)。这些解决方案使组织能够从不同来源收集安全威胁数据和警报。可以利用人力和机器力量的组合来执行事件分析和分类,根据标准工作流程帮助管理员定义、确定优先级并推动标准化的事件响应活动。SOAR工具允许组织以数字工作流程格式定义事件分析和响应过程(也称为安全操作手册),可以自动执行一系列由机器驱动的活动(机器人自动流程化)。一些SOAR工具还具有威胁情报管理功能,例如从专业机构、安全厂商、国家漏洞信息库等获取可用的威胁情报信息,用于内部分析和情报共享。其他的安全工具,如威胁和漏洞管理(TVM)以及突破和攻击模拟(BAS)工具等等也将逐渐融入SOC工具集这个大家庭,所以SOC才能称为“平台”。

二、业界流行的SOC平台模型分析

过去,只有非常大型的组织需要安全操作中心(SOC),这些组织需要集中与合并的安全操作,这些操作集中在事件预防、安全事件监控、威胁检测和响应,通常是7x24交付。尽管将其外包给MSS服务商要便宜一些,并且内部搭建SOC所需的人员、专业知识和技术的成本较高,但某些大型企业在以下情况下也会选择构建、实施和运行自己的SOC:

  • 有关特定或目标威胁的担忧;

  • 不能外包有关业务的专业知识和技能;

  • 第三方安全服务不支持该技术。

威胁环境不断发展,以及安全防御从单一预防到预防、检测、响应三方面的综合平衡的转变,促使越来越多的组织重新重视并采用SOC。目标是专注于安全事件和威胁的检测、响应和预防,并通过安全分析、威胁情报(TI)和自动化等新功能来不断适应严峻的网络安全环境。

从运维的角度,SOC可以大致分为以下5种模型:

1、虚拟型SOC

该模式没有专用的设施,也没有公共的“作战室”。相反,它由承担其他职责和职能的团队成员组成。由于没有专用的SOC基础架构设施,因此团队成员依赖分散的安全技术,并在发生安全事件时才会响应。

通常适用于仅发生偶发事件或与MSSP或其他第三方合作的小型企业。Gartner还认为,在过渡到更专用的SOC模型期间,该模型被用作临时方案。它通常是纯被动式的,但通过利用高级分析和自动监控功能(如相关性或基于规则的警报),可以在此模型中实现更主动的状态。在高风险环境中,利用异常检测和基于行为分析的警报(例如用户和实体行为分析[UEBA])可启用这种主动状态。其特点可用概括为:

  • 没有专用的基础架构设施

  • 团队成员是兼职和地理上分散的

  • 当出现严重警报或事故发生后才响应和启动

  • MSSP完全托管模式

  • 常规的使用者:中小型组织/企业

2、多功能型SOC/NOC

在某些最终用户组织中通常在资源共享层面把SOC和NOC进行融合,但只有当两者相对独立运作并彼此间的协作很少时,该模式才算是成功的。事实上,存在诸如组织政策,预算和流程成熟度不同等因素,很可能导致工作人员执行多项任务(SOC和NOC)。

NOC遵循事件和事件管理的信息技术基础结构库(ITIL)定义,但对于安全事件,ITIL并不适用。此外,如果没有适当地合并NOC和SOC,则会在两组之间造成严重的内部冲突及引起某些风险。

因其可在预算方面节省大量工具和设施成本投入,该模式还是有一定的市场。但安全和风险管理的领导者绝不能因这种融合模式的优点而掉以轻心,否则可能影响SOC的使命及其帮助安全交付和实现业务成果的能力。其特点可用概括为:

  • 拥有专门的基础设施和专业团队,不仅可以履行安全职责,还可以在同一组织执行其他一些关键的7x24的IT运维操作,从而降低成本;

  • 常规的使用者:中小型和低风险的大型企业,其中网络和安全功能已经由相同或重叠的一组人员和团队执行。

3、混合型SOC

由一些专门的人员和基础设施组成,并由其他内部业务部门和/或外部服务供应商的其他团队成员进行了扩充。一个或多个专门的人员负责SOC运维,并根据需要让兼职团队成员和第三方参与。如果组织无法7x24全天候运行,可以借助供应商弥补由此产生的差距,从而形成混合SOC模型。这些供应商可能包括MSSP(托管安全服务),MDR(托管检测和响应)服务供应商,共同托管SIEM服务。他们是特殊的安全咨询供应商或系统集成商(SI)。

该模式可以降低7x24的运营成本,因此非常适合中小型企业,尤其是与第三方广泛合作的企业。此外,它允许组织在内部开发系统功能的同时保持稳定的安全操作。在这段时间内,任何资源缺口都将得到及时填补,现有的安全资源可以将重点转移到其他活动上,例如对事件进行更深入的调查。通常采用此模型的原因是缺乏技能和专业知识、总体预算约束及7x24全天候安全操作的巨大成本和差距。

需要注意的是,如果安全运营预算受到限制,则应优先考虑保持内部高业务价值和关键安全功能。例如IT安全基础架构设计,集成风险管理(IRM)和安全设备管理等,资源应优先投入到以上领域。其他领域如安全事件监控,检测和事件响应等可充分借助外部力量(MSS服务供应商)协作,他们还可以在业务高峰期和节假日,或设施故障和停机期间为突发事件或异常事件提供帮助。其特点可用概括为:

  • 专职或兼职的运维团队,可来自组织内部或外部
  • 组织内的安全团队可以每周7X24小时执行安全操作,或在转移某些职责给外部供应商的情况下5X8或7X8
  • 对于流程的控制及其有效性,会根据与外部供应商不同的职责分工而进行设置

4、专业型SOC

具有集中式专用基础设施、IT安全基础架构和团队。有相当高的独立性或完全独立于IT,拥有连续的日常安全操作所需的所有资源。团队通常由安全工程师,安全分析师和SOC经理组成。在轮班制操作的情况下,每个班次也可以有一个班次主管或值班经理。

完全集中化的SOC适用于具有多个业务部门、地理位置分散、高风险和高安全性要求的大型企业,以及提供MSS服务的供应商。其特点可用概括为:

  • 专用的基础设施

  • 自有的专业团队

  • 完全在内部运营

  • 7x24不间断运作

  • 常规的使用者:大型组织;服务供应商;高风险组织

5、指挥型SOC

超大型组织的区域办事处具有一定的运营独立性(如全球化集团在各个国家或地区的子公司在当地法律法规的限制下必须保持一定的独立性),提供MSS服务供应商和提供共享服务的组织(如政府机构),上述组织可能具有多个SOC。在这些情况下指挥型SOC应运而生,在要求自主运行的情况下,它们将充当集中式或分布式SOC。在某些情况下,SOC将协同工作,但必须进行分级管理,这时候应将一个SOC指定为指挥台SOC。指挥台除了提供其他专业知识和技能(例如法医调查和/或威胁分析)以外,还将协调安全情报收集,产生威胁情报并将其整合以供所有其他SOC使用。

有时,这就是计算机应急响应小组(CERT)在较小国家/地区的运作方式,这些国家/地区除了提供日常的安全操作外,还充当聚合和协调点。其特点可用概括为:

  • 协调其他的SOC

  • 提供威胁情报,态势感知和其他专业知识

  • 很少直接参与日常运营

  • 常规的使用者:超大型组织;服务供应商;政府机构;军事组织;情报机构

以上五个模型是按照组织内部的安全团队参与程度不同而进行分类,如果SOC目标仅是集中化及改善安全操作功能的,还可以从结构模式分为以下几类:

非正式结构:在此模型中,没有正式的SOC。这是多功能SOC / NOC模型的简化版本,该模型的主体原则是以IT运营成果为导向,而IT安全只是IT可以实现的众多关键任务之一。本质上,它是具有嵌入式虚拟SOC的NOC。采用这种模式的组织一般包括规模较小的公司,小型企业和其他预算有限或IT支出低于平均水平的公司。

分层结构:采用此模型的组织通常将其安全操作由内部人员执行或外包。作为预防措施,如果组织的SOC或第一层防御错过任何警报或事件,他们会利用另一家MSSP或MDR服务供应商作为第二层防御。此模型的另一种适应方式是,第一级SOC更局限于安全事件监控,而MSSP或MDR服务供应商则明确用于威胁搜寻和某些事件响应功能。

完全外包:一些组织可能选择完全外包其安全运营。在完全外包的模型中,服务供应商可以在最少客户组织参与的情况下构建和运营SOC(或至多保留监督职能),并且责任制和决策是不可能外包的。对采用完全外包模式的组织,建议至少保留对事件响应和其他以业务为中心的安全活动的控制。

SOC最大的优势在于:提升组织的威胁管理能力。如今,许多组织出于强化安全和保护资产的目的,开始陆续实施或部署各种安全技术和服务,达到尽早预防及检测威胁的效果。这些威胁必须进行实时、集中,规范的关联和监控,并利用可用资源来调查和响应可疑活动和事件,以使这些安全技术和服务发挥最大的作用。例如事件响应(信息泄露)可以跨越多个业务部门,并且可能包含第三方敏感信息,整个响应过程需要协调和管理以确保满足所有法律法规和技术的要求,而SOC刚好可以满足这些要求。但这些模型并不是万能的,特别是IT领域,没有任何一种IT解决方案是万能的,信息安全领域更甚!

三、几点建议

负责安全运营及风险管理的负责人应考虑以下几点:

  • 除了结合当前企业面临的风险和威胁,更要综合业务目标、信息安全、IT、风险管理,和业务部门一起为SOC制定要求/需求;

  • 适度扩展SOC的功能,因为这不仅仅是一个SIEM(安全信息与事件管理)解决方案,高扩展性的SOC能提供对未来IT环境变化的的适应性;

  • 运作良好的SOC模型,需要定义清晰的人员、流程和技术等指标,该指标需与业务目标一致;

  • 使用托管安全服务(MSS)可以抵消7X24的 SOC运营成本,并能填补监控的覆盖范围和人员技能差距,这点在策略上或可作为长期战略的一部分;

  • 从一开始就制定SOC人员保留策略,并保持持续的人才补充能力。

四、写在最后

笔者有幸参与到我司SOC平台建设工作中,在项目的需求分析和可行性分析阶段查阅了大量资料和专业报告,故而对于该主题有感而发。本文讨论范围仅限SOC模型及其特点,其他未涉及的范围如SOC的人员组织架构搭建,技术工具整合与管理等话题,有时间再探讨。各位读者如果对于上述观点有意见或建议,随时欢迎与笔者交流【有空的话:)】。

关于作者

李日辉,华南某汽车金融企业高级IT项目经理(安全合规与风险),曾供职于国际知名银行、保险等企业,从事信息安全相关工作超过10年。

资料来源:

  1. https://arcticwolf.com/resources/white-papers/awn-ema-build-or-buy-soc-ga-ubm-tech-digest

  2. https://arcticwolf.com/resources/blog/selecting-a-soc-that-s-sensible-for-your-organization

  3. 安全内参、安全牛、51CTO等

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。