[[410601]]

【51CTO.com快譯】安全運營中心(Security Operations Center，SOC)主要負責維護、監控和保護組織中的信息系統和服務資源。作為一個情報中心，它能夠實時收集在組織內部資產(包括服務器、網絡、以及終端等)中流動的數據信息，并據此來識別安全事件，以及做出行之有效且及時的響應。

通常，SOC會涉及到廣泛的技術、流程、以及經驗豐富的安全專家團隊。而為了提高效率，SOC經常會采用各種自動化的工具，來簡化和支持團隊的日常工作。例如，自動化的流程可以幫助他們識別出現有網絡中的安全威脅，根據既定的風險標準和其他因素，來確定優先級，并按需給出相應的解決方法與建議。

歸納起來，SOC的主要活動和職責包括：

• 網絡監控——通過不斷改進異常檢測的能力，來提高針對各種數字活動的可視性。
• 預防技術——其實施目的是為了廣泛地預防和阻止，那些已知和未知的風險。
• 威脅檢測和情報——協助評估和確定每個安全事件的起源、嚴重性、以及影響程度。
• 主動事件響應和補救——通過自動化工具和人工干預來提供支持。
• 報告功能——確保所有事件和威脅都能夠被及時地輸入至數據存儲庫，以便后續分析。其報告內容將有助于讓未來的響應能力更加及時與準確。
• 風險與合規性——確保執行和遵守各種來自政府和行業的法律與法規。

SOC技術棧的基本組件

常言道，沒有過硬的技術，SOC將根本無法運營。下面讓我們來討論那些構成安全技術棧的關鍵工具。

安全信息和事件管理(Security Information and Event Management，SIEM)

SIEM會自動聚合那些來自多個網絡源的大量安全相關數據，并且對其進行分析與關聯。它可以幫助您將各種日志數據和網絡流量，整合到一個儀表板中，以便各個相關方便捷地使用這些信息。

SIEM方案通常會帶有內置的分析功能，可以讓安全團隊以數據可視化的方式，識別其發展趨勢，并判定出可疑的模式。例如，通過收集和關聯一系列來源的數據，SIEM系統可以協助分析師從看似互不相關的活動和事件之間，識別出彼此的關系，進而發掘到潛在的攻擊信號。

SIEM平臺的另一個優勢在于，它們可以將數據整合到報告中。也就是說，SIEM平臺能夠出于合規的目的，自動生成審計報告。這些報告通過展現當前組織內部的風險狀況，以協助各個利益相關方(包括不精通網絡安全的高管、以及其他決策者)理解組織的安全態勢。

威脅情報

威脅情報平臺可以與SIEM系統相集成，提供警告的上下文。如今，各個組織往往會用到一整套安全工具，而其中的每個工具都會生成各種警告。如前所述，SIEM技術能夠將各種工具生成的信息匯總起來。而威脅情報工具則會通過各種威脅向量、及其技術數據，讓這些信息更加“豐富”、且有根據。

可以說，將威脅情報與SIEM結合使用的主要優勢就在于：安全運營團隊能夠確定警告的優先級，減少誤報的數量，確保自動化的流程更加高效，以及用最短的時間去處置那些真正可疑的異常行為與攻擊。

當然，除了對警告進行優先級排序之外，威脅情報團隊還能夠通過提供上下文信息，讓分析師有針對性地評估和確定每個警告的真正內容與風險級別。實際上，分析師和其他利益相關者可以使用威脅情報平臺，快速地確定警告的來源，識別受影響的系統和設備，進而發現威脅的類型。如有需要，分析師還可以快速地開展更深層次的調查，并追逐相關的惡意活動。

Web應用程序防火墻 (WAF)

WAF旨在保護目標網絡免受惡意流量的侵害。它通過參考OWASP十大安全漏洞、零日威脅、未知應用漏洞、和其他基于Web的威脅，及時有效地保護業務關鍵型Web應用，免受各種威脅的入侵。

雖然WAF有著多種類型，但是它們都有一個相似的目標——通過分析各種HTTP的交互，在惡意攻擊抵達服務器之前，減少或消除這些惡意流量的準入。

與傳統防火墻相比，WAF能夠更好地了解通過HTTP傳輸的各類敏感信息。也就是說，WAF可以防范那些通常能夠繞過傳統網絡防火墻的攻擊。而其另一個關鍵優勢在于：WAF不需要更改應用程序的源代碼，而是通過檢測惡意流量，來阻擋黑客利用應用漏洞的各鐘可能。

擴展檢測和響應(eXtended Detection and Response，XDR)

XDR技術屬于主動防御類型的安全技術棧(請參見--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-features-and-use-cases/)。它不但提供了橫跨多個數據源的全面可視性，而且使用警告分類和威脅搜尋的方式，來搜索數字資產中的未知威脅。憑借著大數據分析和人工智能(AI)，XDR能夠對包括云端、網絡和終端等環境，開展自動化的智能搜索、數據關聯、并提供各種豐富的屬性值。

在搜索威脅之前，XDR方案會分析所有數據源中實體、操作、用戶的各項行為。通過事先將此類信息予以關聯，以便創建一個被視為正常行為的基線。而有了基線之后，XDR技術會檢索各種異常行為，通過對其進行比對分析，讓分析師更有針對性地去查找威脅。

SOC通常會采用XDR技術，來發現威脅的來源點、以及當前位置。同時，運營團隊也可以利用XDR，來簡化工作流程，并減少多任務處理的時間與復雜性。這里的多任務主要包括：事件調查和響應、威脅搜尋、以及事件分類等。

零信任

零信任安全模型的基本原則是：網絡上的任何組件都是不可信任的。它會假設用戶帳戶和設備已經被盜用，因此只能向任何用戶或設備授予盡可能少的權限，并且要不斷驗證身份。據此，零信任可以確保添加和實施更多的安全層面，以防止惡意行為者潛入網絡，同時也防止內部人員執行未經授權的操作。

在零信任看來，內部網絡與外部同樣容易受到威脅的入侵，因此需要提供同等的保護。因此，那些落地了零信任的組織，會實施物理和邏輯上的網絡分段技術，以確保網絡中的各個實體，只能連接到相關的資產上，而不能橫向移動到網絡的其他部分。在技術實現上，零信任網絡技術會對連接到公司系統的用戶、以及應用程序和服務角色，進行強身份驗證，并使用一個策略引擎，來確定“在何種情況下，允許誰訪問哪些內容”。

安全自動化、編排和響應 (Security Automation, Orchestration, and Response SOAR)

SOAR是一個通過使用一系列集成工具，來實現自動檢測和響應警告的平臺。SOAR并非一個獨立的系統，而是可以有效地編排和利用那些部署在SOC內部的其他系統。

SOAR通常可以提供如下功能：

• 傳統任務的自動化——包括漏洞掃描、日志查詢、新用戶配置、以及非活動帳戶配置的凍結等。
• 自動化響應——SOAR會根據預定義的劇本(playbook)，按計劃自動響應各種警告。
• 編排——通過集成和關聯多個安全工具的輸出，來自動分析各類安全事件。

可以說，SOAR不但可以使用自動化的劇本，來顯著地加快對于警告的響應，而且還能夠確保安全分析師，不會在重復的手動任務上浪費時間，進而將其現有的分析技能用于更為復雜的威脅場景中。

區塊鏈網絡安全

由于區塊鏈技術能夠在交易的雙方之間建立真實的身份通信，也就是業界常提到的對等網絡(peer-to-peer network)設計，因此區塊鏈網絡安全已正日益得到重視與關注。在該模型中，區塊鏈中的每個成員都有責任驗證任何被添加的數據真實性。據此，它為數據創建了一個幾乎不可被滲透的網絡，從而提供了高度的安全性。

小結

通過綜合利用上述技術，SOC可以廣泛全面地檢測和響應各種安全威脅。最后，讓我們總結一下SOC該如何有效地使用這些高級的安全工具：

• SIEM系統可以從整個組織中收集各類安全事件，并生成可操作性的警告。
• 威脅情報可以使用來自全球數百萬條安全事件的數據，來豐富組織對內部事件的判斷力。
• Web應用防火墻(WAF)為應用程序流量提供了實時的安全層，可以通過設置策略和規則，來動態地應用到各種流量模式上。
• 擴展檢測和響應(XDR)支持針對橫跨IT環境多個部分的攻擊，以實現統一的可視性、檢測和響應。
• 零信任能夠更加嚴格地管控企業網絡的內部流量，并防止特權帳戶通過橫向移動構成威脅。
• 安全自動化、編排和響應(SOAR)可以定義一系列復雜的自動化活動，通過結合多種安全工具，對安全事件進行自動化的響應。
• 區塊鏈網絡安全可以保護敏感數據，并讓這些數據對于攻擊者毫無用處。

原文標題：The SOC Technology Stack: XDR, SIEM, WAF, and More，作者：Eddie Segal

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】