【IT168技术】随着互联网的飞速发展,越来越多的公司利用互联网创建共享的工作环境,甚至将公司的经营活动转移到虚拟服务器上,这样可以大大节约在通信、市场营销、安全等方面的支出。但是,公司使用的网络环境如果没有安全防御,就可能遭受黑客或竞争对手的入侵,导致公司的机密数据或信息丢失,这是当前很多企业使用互联网进行经营的最大挑战。安全运营中心(SOC)的出现,无疑给这些企业带来了希望。那么,企业如何才能保证实施非常好的的安全运营中心呢?
如今,用户需要网络环境定制、更快速的响应、对安全的可控管理,而仅仅依托于软、硬件安全产品显然无法满足这些需求,安全运营中心也就在这样的背景下出现的。SOC的主要目的是为了让用户免受来自网络方面的各种威胁,其建设并不应该理解为单一产品或者一些安全产品的集合,SOC实际是一个整体安全建设的过程和成果。SOC应该由安全信息平台、安全事件平台、运营维护制度、安全支持服务、安全功能代理、专业维护人员等一系列要素构成。SOC是一种集中式的安全管理方式,它包含集中安全设备管理、安全事件收集、事件关联分析、状态监视、分析报表等重要技术组件。除技术之外,SOC还有运营人员、应急小组和专家队伍,这是其特别之处。
实施SOC的准备工作
用户在实施SOC之前,必须在进行充分沟通的基础上制定有效的安全策略。Orange Business Services中国区首席技术官刘昕说,安全策略能让用户明确SOC角色,因为它将是用户每一次行动的基础。如果用户主要是想对安全事件作出迅速响应,那么用户应该考虑在SOC中纳入合规监控功能。这样的话,用户必须决定SOC要管理哪些方面,是仅限于管理网络,还是管理所有行为?此外,用户还需要知道网络是否实施内容过滤,哪些是违反规定的行为。同样重要的是,无论是简单观察、记录和报告重复性攻击,还是主动解除威胁,用户都应基于SOC角色。当用户明确了每一项责任之后,就可以在SOC的每个阶段将这些责任分派至个人。
SOC作为防御性工具,应满足企业战略需求。网络风险的存在是用户加强网络安全防御的动力,因此,用户进行网络风险分析显得尤为重要。风险分析的结果应作为制定安全策略的基础,并必须定期进行重新评估,每年或每两年应进行一次重新评估,并对SOC进行相应修订,这一点十分重要。
拥有一套明确的程序,是决定SOC能否成功保护系统不受威胁的关键。这些程序要明确说明工作人员在面对网络攻击时,所应采取的行动。而且,一套明确的程序还应保证各方都知道如何正确地履行自己的职责,如果还能说明工作人员如何使用各种工具,那将更有益处。根据用户的企业架构,应有几种不同的选择来管理权限升级。另外,程序应说明与业务运营有关的各种重要细节,并将它们作为事件处理程序的参考资料。
任命适当的人员
人们经常讨论应该具备何种水平的技能和经验,才能应对各种威胁事件,却忽略了人员配备方面的问题。有的公司为了省钱而雇佣缺乏经验的“新”人,再对他们进行网络威胁与防御方面的培训。这种做法是不可取的,这是因为工作人员所必备技能是非常专业和复杂的,不是可以轻易掌握的。相对于新人,网络工程师具备明显的优势,他们非常熟悉公司内部管理和网络设计,并且知道在面对各种攻击时应该联系哪些关键人物。那么,网络工程师能否胜任这一职位呢?刘昕分析说,首先,网络工程师不是专门为了识别可能攻击系统的各种威胁,并不能代表他们可以很好地识别网络中几乎没有研究过的数据包。其次,管理任何威胁事件都需要独特的流程规则,这需要在对事件迅速作出适当响应前,对其中涉及的任何情况都有很好的了解。那么什么样的人才能胜任呢?刘昕认为,有经验的事件响应人员、可靠的IDS分析师、有着丰富网络经验的分析师,他们是在数据的海洋中搜索微小细节的精英,就是这一职位的理想人选。当然,聘用这些人员必然会增大公司的成本,但是这样的付出最终将会获得回报。
SOC的作用及整合
当用户在开始实施SOC时,需要界定组织动态。这一步骤将有助于说明在应对威胁时,每一级别所扮演的角色。刘昕表示,用户应考虑组织动态的三个级别,即0级、1级、2级。他解释说,0级是核心服务,其中安全中心运营程序涉及监控、防御和缓解外部攻击的功能。0级负责执行事件响应,实施完全监视,并根据组织业务的需要提供适当的补丁和更新。内部客户群属于1级。这一级别的成员为组织内部接受安全保护服务的其他部门。2级包括外部客户和业务合作伙伴。当他们通过共享网络与用户公司进行业务往来时,用户应通过安全管理程序提供间接保护和直接监视。0级提供了针对外来威胁性攻击的非常好的保护和控制。而组织以外的2级被赋予了最低限度的控制权利,并减少了提供给他们安全威胁的信息和信赖程度。这一安全机制的底线是风险管理,风险管理可消除和避免可能的外来攻击。
刘昕认为,SOC只是整个系统的一部分,无法独自面对威胁性攻击,将SOC整合至组织的信息流和活动中是十分必要的。如果其中有任何能够优化SOC工作(如防范新的攻击技术)的宝贵信息,这一整合便能带来丰厚的回报。此外,安全管理负责人应时常获取组织内部与监控威胁事件有关的信息。
刘昕强调,SOC实际上拥有一个对于事件作出响应的动态团队,要实现全面保护,就必须将SOC团队融入整体协作团队中。团队将动态地负责不同的事件处理流程。这样,SOC团队便可以满足风险规避需求,并将成熟的方案反馈给适当的小组。做企业决策时,SOC团队应了解如何以坦率而有效的方式寻求和共享信息。规定通信和权限升级的程序应明确说明哪些信息适于共享。例如,当用户告知风险规避团队成员那些造成影响或受到影响的系统的IP地址、但没有告知此IP地址的用户名时,这一透明度便是适当的。SOC团队也有义务交流和报告企业中不同来源的信息安全风险。许多公司的实例表明,非常好的安全管理中心的建立、人员配置和运营,远远复杂于聘请外部服务供应商监控IDS传感器输出的数据。刘昕认为,为了实现有效的保护,SOC的程序和运行应通过各种方式,来获得管理层的支持和组织的认可。当然,用户仍然可以将部分功能外包,但是,仍需指派组织内部的人员来管理、联络并负责每个策略的执行。