安全运营中心(SOC)技术框架
依据这个体系框架,当时写了《基于主动防御能力,建设安全运营体系的一点思考》文章,感兴趣的可以翻回去看下。
最近对安全运营中心(SOC)技术框架进行了一个梳理,可以算作是对2018年安全运营体系框架的一个升级版本,不同的是这次从安全运营中心(SOC)职能出发,对其日常工作需要进行支撑的技术模块进行了梳理。
由于某些原因,最新的框架图就不直接放上来了,但是对其中的内容拆解后,罗列一下提纲。
安全运营中心(SOC)总体框架核心内容,从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心(SOC)下的基础还是安全防护体系(安全资源层),贯穿每层会有外部输入、外部输出的内容。
基础运营层为较低成熟度安全运营内容,包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台(SIEM)、威胁情报平台就可以实现。
基础运营层的特点是有各自系统与平台,按人员分工分别运营并依靠管理制度进行协作,实现的都是基础性安全工作。对于一般性的企业能够把这些做好了,已经非常不错了。
如果往高成熟度发展,一个是要提高运营效率,包括编排与自动化、事件聚合、智能交互等都是为了提高效率;另外一个当然是增强运营效果,核心就是对抗安全高级威胁,包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。
在这部分中,资源生态是前提,编排能力是基础,标准知识库是才是最具价值的核心。再次强调一下,编排与自动化是结果,而非驱动。
只有具有成熟的运营流程SOP,才能转化为标准化的安全剧本,如果想不出来剧本,可能是安全运营工作还比较初级,还不用考虑如何用编排与自动化提高效率。
事件(Incident)管理包括自动化分析、交互分析,成熟场景建立自动化分析提高效率,非成熟场景依托交互分析提高分析人员的便捷性。
风险挖掘包括威胁猎捕,包括诱捕、取证等,以及漏洞挖掘两部分。
安全对抗则包括技术上的对抗,以及人员意识层面的对抗。额外说一句意识对抗一直是被安全运营忽视的重点。
最上面是风险绩效层,这里面风险监测建议参考银行业的信息科技关键风险指标KRI的思路,有兴趣可以自行搜索一下相关内容。另外一部分的安全协同相对比较通俗,不需要过多解释。
需要说明一下的是安全绩效这个内容,一直以来安全的工作重点就是发现入侵,尤其是发现常规技术发现不了的成功入侵,这带来一个问题就是如果没有有效的安全告警或事件,安全人员就有些心慌,体现不了价值。
所以在安全监测的基础上,要考虑安全绩效的内容,即如何体现安全工作的价值。比如安全攻击的自动拦截次数、安全应急预案的有效性、安全成熟度的提升以及安全防御改进的效果等。
最后推荐下GitMind,经常画思维导图、流程图的值得拥有。
扩展 · 本文相关链接