网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务

安全运营中心

更新时间:2024-12-28 GMT+08:00
分享

安全运营中心(Security Operations Center,SOC)一个集中式功能或团队,负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动,以实时发现潜在的威胁;对网络安全事件进行预防、分析和响应,以改进企业的网络安全态势。SOC还使用最新的威胁情报来掌握威胁组和基础结构的最新信息,并在攻击者利用系统或流程漏洞之前识别和处理这些漏洞,从而主动开展安全工作。大多数SOC每周7天全天候运行,跨多个国家/地区的大型企业/组织可能还依赖于全球安全运营中心(GSOC)来掌控全球安全威胁,并协调多个本地SOC之间的检测和响应。

SOC的功能

SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。

  • 资产和工具清单

    为了消除覆盖范围中的盲点和缺口,SOC需要了解它保护的资产,并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案,例如防火墙、反恶意软件、反勒索软件和监视软件。

  • 减少攻击面

    SOC的主要责任是减少企业/组织的攻击面。为此,SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置,并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险,这有助于他们领先于最新威胁。

  • 持续监视

    SOC团队使用安全分析解决方案全天候监视整个环境 - 本地、云、应用程序、网络和设备,来发现异常或可疑行为;其中这些解决方案包括安全信息企业管理(SIEM)解决方案、安全编排、自动化和响应(SOAR)解决方案和扩展检测和响应(XDR)解决方案。这些工具会收集遥测数据、聚合数据,并在某些情况下自动进行事件响应。

  • 威胁情报

    SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图,并帮助团队了解威胁组是如何运作的。借助此信息,SOC可快速发现威胁,并加强企业/组织对新出现的风险的应对。

  • 威胁检测

    SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后,他们按严重性和对业务的潜在影响确定威胁的优先级。

  • 日志管理

    SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线,并揭示可能指示恶意软件、勒索软件或病毒的异常。

  • 事件响应

    识别到网络攻击后,SOC会快速采取措施,在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件,以及运行防病毒和反恶意软件。

  • 发现和修正

    在攻击之后,SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端,重启应用程序,直接转换到备份系统,并恢复数据。

  • 根本原因调查

    为了防止类似的攻击再次发生,SOC进行了彻底的调查,来确定漏洞、效果不佳的安全流程和其他导致事件的教训。

  • 安全性优化

    SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略,并更新安全路线图。

  • 合规性管理

    SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规,例如,《PCI DSS安全遵从包》《ISO 27701安全遵从包》《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性,并确保在数据泄露后通知监管机构、执法人员和客户。

SOC中的关键角色

根据企业/组织的规模,典型的SOC包括以下角色:

  • 事件响应总监

    此角色通常只出现在非常大型的企业/组织中,负责协调安全事件期间的检测、分析、遏制和恢复。他们还管理与相应利益干系人的沟通。

  • SOC管理者

    SOC监督员是管理者,通常向首席信息安全官(CISO)报告。职责包括监督人员、运行业务、培训新员工和管理财务。

  • 安全工程师

    安全工程师负责企业/组织安全系统的启动和运行。这包括设计安全体系结构以及研究、实施和维护安全解决方案。

  • 安全分析师

    安全分析师是安全事件中的第一响应人,负责识别威胁、确定威胁的优先级,然后采取行动来遏制损害。在遭到网络攻击期间,他们可能需要隔离已遭到感染的主机、客户端或用户。在一些企业/组织中,会根据安全分析师负责解决的威胁的安全程度来对这些分析师进行分级。

  • 威胁搜寻者

    在一些企业/组织中,经验最丰富的安全分析师被称为威胁搜寻者。他们识别和响应自动工具未检测到的高级威胁。该角色主动行动,旨在加深企业/组织对已知威胁的了解,并在攻击发生之前揭示未知的威胁。

  • 取证分析师

    大型企业/组织可能还会聘用取证分析师,他们负责在出现违规后收集情报来确定其根本原因。他们会搜寻系统漏洞、违反安全策略的行为和网络攻击模式,这些有可能帮助防止将来发生类似的入侵。

SOC的类型

企业/组织有几种不同的方式来设置其SOC。一些企业/组织选择构建具有全职员工的专用SOC。这种类型的SOC可以是内部的,具有物理的本地位置,也可以是虚拟的,员工使用数字工具远程协调工作。许多虚拟SOC既有合同工,也有全职员工。外包SOC也可称为“托管SOC”或“安全运营中心即服务”,它由托管安全服务提供商运行,该提供商负责防止、检测、调查和响应威胁。此外,它可以既有内部员工,也有托管安全服务提供商。这种版本被称为托管或混合SOC。企业/组织使用这种方法来增加自身员工的影响力。例如,如果他们没有威胁调查员,那么聘用第三方可能与在内部配备这些人员更加容易。

SOC团队的重要性

强大的SOC可帮助企业、政府和其他组织领先于不断变化的网络威胁环境。这不是一件容易的事。攻击者和防御社区都经常开发新的技术和战略,而管理所有的变化需要时间和精力。SOC利用其对更广泛的网络安全环境的了解以及对内部薄弱点和业务优先级的理解,帮助企业/组织制定符合业务长期需求的安全路线图。SOC还可限制发生攻击时对业务的影响。他们会持续监视网络并分析警报数据,因此与分散在其他几个优先事项的团队相比,他们更有可能更早地发现威胁。通过定期培训和记录良好的流程,SOC可以快速处理当前事件,即使在压力极大的情况下也能做到。对于没有全天候关注安全运营的团队来说,这可能很困难。

SOC的优势

通过将用于保护企业/组织免受威胁影响的人员、工具和流程进行统一,SOC可帮助企业/组织更有效、更高效地防御攻击和泄露。

  • 强大的安全状况

    提高企业/组织的安全性是一项永无止境的工作。它需要持续监视、分析和规划,以发现漏洞并掌握不断变化的技术。当有待处理事项的优先级不相上下时,很容易会忽视安全性,而关注感觉更紧迫的任务。

    集中式SOC有助于确保持续改进流程和技术,从而减低成功攻击带来的风险。

  • 遵守隐私法规

    行业、国家和地区在治理数据收集、存储和使用方面的法规各有不同。许多法规要求企业/组织在使用者请求时报告数据泄露并检测个人数据。制定适当的流程和程序与拥有适当的技术同样重要。SOC的成员帮助企业/组织承担保持技术和数据流程最新的责任来遵守这些法规。

  • 快速响应事件

    发现和阻止网络攻击的速度有多快至关重要。借助适当的工具、人员和情报,可以在漏洞造成任何损害之前遏止这些漏洞。但是,恶意操作者也很聪明,他们会隐藏起来、窃取大量数据,并在任何人注意到之前提升他们的权限。安全事件也是一个让人非常有压力的事情,尤其是对于在事件响应方面缺乏经验的人来说。

    借助统一的威胁情报和记录良好的程序,SOC团队能够快速检测、响应攻击,并在遭到攻击后快速恢复。

  • 降低入侵成本

    对于企业/组织来说,一次成功的入侵可能会付出非常昂贵的代价。恢复通常需要停机很长时间,很多企业在事件发生后不久会失去客户或难以赢得新客户。通过先于攻击者行动并快速响应,SOC可帮助企业/组织在重回正常运营时节省时间和金钱。

SOC团队的最佳做法

要负责的事情太多,SOC必须有效地企业/组织和管理才能取得结果。拥有强大SOC的企业/组织会实施以下安全做法:

  • 策略与业务看齐

    即使资金最充裕的SOC也必须决定将时间和金钱集中在哪些方面。企业/组织通常会先进行风险评估,来识别最容易出现风险的方面和最大的业务机会。这有助于确定需要保护哪些内容。SOC还需要了解资产所在的环境。很多企业的环境很复杂,一些数据和应用程序在本地,一些跨多个云分布。策略有助于确定安全专业人员是否需要每天任何时间都可联系,以及是在内部配置SOC还是使用专业服务更好。

  • 员工具备能力、经过良好培训

    有效SOC的关键在于高技能且不断进步的员工。首先是要找到最优秀的人才,但由于安全人员市场竞争非常激烈,因此这可能很棘手。为了避免技能差距,许多企业/组织试着寻找拥有各种专业知识的人员,这些知识包括系统和情报监视、警报管理、事件检测和分析、威胁搜寻、道德黑客、网络取证和逆向工程。他们还会部署可自动执行任务的技术,让较小型的团队更加高效,并提高初级分析员的产出。在定期培训方面投入有助于企业/组织留住关键员工、弥补技能差距和发展员工的职业生涯。

  • 端到端可见性

    攻击可能从单个客户端开始,因此SOC了解企业/组织的整个环境至关重要,这包括由第三方管理的任何内容。

  • 适当的工具

    安全事件是如此的多,团队很容易不知所措。有效SOC会在卓越安全工具上投入,这些工具可很好地协同工作,并使用 AI 和自动化来上报重大风险。互操作性是避免覆盖范围出现缺口的关键。

SOC工具与技术

  • 安全信息和事件管理(SIEM)

    SOC中最重要的工具之一是基于云的SIEM解决方案,它将来自多个安全解决方案和日志文件的数据聚合在一起。借助威胁情报和AI,这些工具帮助SOC检测不断演化的威胁、加快事件响应速度并先于攻击者行动。

  • 安全编排、自动化和响应(Security Orchestration, Automation and Response,SOAR)

    SOAR可自动执行定期和可预测的扩充、响应和修正任务,从而空出时间和资源来进行更深入的调查和搜寻。

  • 扩展检测和响应(Extended Detection and Response,XDR)

    XDR是一种服务型软件工具,它通过将安全产品和数据集成到简化的解决方案中来提供全面、更优的安全性。企业/组织使用这些解决方案在多云混合环境中主动有效地应对不断演化的威胁环境和复杂的安全挑战。与终结点检测和响应 (EDR) 等系统相比,XDR扩大了安全范围,从而跨更广泛的产品集成了保护,包括企业/组织的终结点、服务器、云应用程序和电子邮件等。在此基础中,XDR将预防、检测、调查和响应相结合,提供可见性、分析、相关事件警报和自动化响应来增强数据安全并对抗威胁。

  • 防火墙

    防火墙会监视进出网络的流量,根据SOC定义的安全规则允许或阻止流量。

  • 日志管理

    日志管理解决方案通常是SIEM的一部分,它会记录来自企业/组织中运行的每个软件、硬件和客户端的所有警报。这些日志提供了网络活动的相关信息。

  • 漏洞管理

    漏洞管理工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。

  • 用户和实体行为分析(User and Entity Behavior Analytics,UEBA)

    用户和实体行为分析构建在许多新式安全工具之中,它使用AI来分析从各种设备收集的数据,来为每个用户和实体建立正常活动的基线。当事件偏离基线时,会标记该事件供进一步分析。

SOC和SIEM

如果没有SIEM,SOC将很难完成其任务。新式SIEM提供:

  • 日志聚合:SIEM会收集日志数据并关联警报,分析人员可使用这些信息来检测和搜寻威胁。
  • 上下文:SIEM跨组织中的所有技术收集数据,所以它帮助将单个事件之间的点连接起来,识别复杂的攻击。
  • 减少警报数:SIEM使用分析和AI来关联警报并识别最严重的事件,从而减少用户需要审查和分析的事件数。
  • 自动响应:内置规则使SIEM能够识别和阻止可能的威胁,无需人员交互。
说明:

另请务必注意,单靠SIEM不足以保护组织。用户需要将SIEM与其他系统集成,为基于规则的检测定义参数,并评估警报。正因为如此,定义SOC策略和聘用适当的员工至关重要。

SOC解决方案

有多种解决方案可用来帮助SOC保护组织。最佳解决方案协同工作,跨本地和多个云提供完整覆盖范围。华为云安全提供全面的解决方案,来帮助SOC消除覆盖范围方面的差距,并获得其环境的360度视图。安全云脑检测和响应解决方案集成,为分析师和威胁搜寻者提供查找和遏止网络攻击所需的数据。

常见问题

  1. 安全运营中心团队要做什么?

    SOC团队监视服务器、设备、数据库、网络应用程序、网站和其他系统,以实时发现潜在威胁。他们还及时了解最新威胁并在攻击者利用系统或进程漏洞之前发现和解决这些漏洞,以执行主动安全工作。如果企业/组织已然遭受到攻击,SOC 团队负责根据需要去除威胁以及还原系统和备份。

  2. 安全运营中心的关键组件是什么?

    SOC由有助于保护组织免受网络攻击的人员、工具和流程组成。为了实现其目标,它执行以下功能:清点所有资产和技术、日常维护和准备、持续监视、威胁检测、威胁情报、日志管理、事件响应、恢复和修正、根本原因调查、安全优化和合规性管理。

  3. 为什么企业/组织需要强大的SOC?

    强大的SOC通过统一防御、威胁检测工具和安全流程来帮助企业/组织更高效和有效地管理安全性。与没有SOC的公司相比,具有SOC的企业/组织能够改进其安全流程、更快地应对威胁以及更好地管理合规性。

  4. SIEM和SOC有什么区别?

    SOC是负责保护企业/组织免受网络攻击的人员、流程和工具。SIEM是SOC用于保持可见性和响应攻击的众多工具之一。SIEM汇总日志文件,并使用分析和自动化向决定响应方式的SOC成员揭示可信威胁。

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容