為了跟上快速發(fā)展的威脅形勢，組織必須不斷努力提高其安全運營的效率。在今天的博客中，我們將通過分解成功的SOC設計背后的基本原理，為優(yōu)化您的安全運營中心(SOC)奠定基礎。

什么是SOC？

SOC旨在通過快速有效地識別、分析和響應安全威脅來保護公司免受安全漏洞的影響。直到過去十年，SOC還是一個物理房間或指揮中心，安全團隊的不同成員在這里工作。這可能包括物理和網(wǎng)絡安全團隊，由安全分析師、安全工程師和負責安全運營、藍隊活動和DevSecOps的個人組成。紅隊成員雖然也是安全團隊的一員，但由于他們的對抗角色，他們通常在其他地方工作。

由于高昂的運營成本以及為安全運營構建儀表和管理平面的挑戰(zhàn)，在過去十年之前，只有大型企業(yè)擁有SOC。今天，由于SOC運營模式的廣泛接受以及開源和其他工具的興起，許多中型組織現(xiàn)在投資于小型SOC，以自動化和簡化許多SOC運營。

越來越多的組織選擇虛擬或混合SOC，以實現(xiàn)更好的全球覆蓋，并為喜歡部分或全部時間在家工作的高技能員工提供服務。一些企業(yè)還將SOC運營外包給托管安全服務提供商，后者利用機構知識和規(guī)模經(jīng)濟來保護使用同一組工具和安全團隊的多個企業(yè)。無論是虛擬的、物理的還是外包的，SOC都充當統(tǒng)一元素，它結合了所有必要的信息和資源，以提高組織內(nèi)的績效和加強數(shù)據(jù)共享。

SOC 做什么？

SOC是組織安全戰(zhàn)略的尖端，但它也包含許多必須經(jīng)過精心設計和協(xié)調(diào)的子系統(tǒng)。此外，SOC必須與其他團隊密切合作，包括IT、人力資源、法律、合規(guī)和財務。在某些情況下，由于職責重疊以及網(wǎng)絡安全在安全態(tài)勢中發(fā)揮的不可或缺的作用，SOC與網(wǎng)絡運營中心位于同一地點。

為了提高效率并加強SOC與組織內(nèi)其他部門之間的協(xié)作，首先了解SOC的主要職責很重要：

維護安全工具和控制。這通常由安全工程師處理，他們不斷調(diào)整控制以減少安全漂移并阻止新的攻擊。它們還有助于促進補丁管理工作。

測試和驗證安全控制和安全態(tài)勢保真度。這是藍隊、漏洞管理團隊，有時是安全工程師的責任。

分析潛在威脅，為戰(zhàn)略和戰(zhàn)術方法提供信息。這是威脅建模和安全情報團隊的任務。

調(diào)查入侵指標(IOC)或可疑活動。事件響應團隊（通常是藍隊）調(diào)查網(wǎng)絡和系統(tǒng)中的可疑和惡意活動。

提高SOC效率

現(xiàn)代SOC是一個復雜的環(huán)境，具有數(shù)十種工具、重疊的團隊以及需要保護的不斷增長的攻擊面。為了應對這些挑戰(zhàn)并跟上快速發(fā)展的威脅形勢，安全領導者必須不斷努力提高SOC效率并保持團隊成員的參與。

審核編輯：劉清