構建安全運營中心的必備技術棧

安全運營中心(Security Operations Center，SOC)主要負責維護、監控和保護組織中的資訊系統和服務資源。作為一個情報中心，它能夠實時收集在組織內部資產(包括伺服器、網路、以及終端等)中流動的資料資訊，並據此來識別安全事件，以及做出行之有效且及時的響應。

通常，SOC會涉及到廣泛的技術、流程、以及經驗豐富的安全專家團隊。而為了提高效率，SOC經常會採用各種自動化的工具，來簡化和支援團隊的日常工作。例如，自動化的流程可以幫助他們識別出現有網路中的安全威脅，根據既定的風險標準和其他因素，來確定優先順序，並按需給出相應的解決方法與建議。

歸納起來，SOC的主要活動和職責包括：

• 網路監控——通過不斷改進異常檢測的能力，來提高針對各種數字活動的可視性。

• 預防技術——其實施目的是為了廣泛地預防和阻止，那些已知和未知的風險。

• 威脅檢測和情報——協助評估和確定每個安全事件的起源、嚴重性、以及影響程度。

• 主動事件響應和補救——通過自動化工具和人工干預來提供支援。

• 報告功能——確保所有事件和威脅都能夠被及時地輸入至資料儲存庫，以便後續分析。其報告內容將有助於讓未來的響應能力更加及時與準確。

• 風險與合規性——確保執行和遵守各種來自政府和行業的法律與法規。

SOC技術棧的基本元件

常言道，沒有過硬的技術，SOC將根本無法運營。下面讓我們來討論那些構成安全技術棧的關鍵工具。

安全資訊和事件管理(Security Information and Event Management，SIEM)

SIEM會自動聚合那些來自多個網路源的大量安全相關資料，並且對其進行分析與關聯。它可以幫助您將各種日誌資料和網路流量，整合到一個儀表板中，以便各個相關方便捷地使用這些資訊。

SIEM方案通常會帶有內建的分析功能，可以讓安全團隊以資料視覺化的方式，識別其發展趨勢，並判定出可疑的模式。例如，通過收集和關聯一系列來源的資料，SIEM系統可以協助分析師從看似互不相關的活動和事件之間，識別出彼此的關係，進而發掘到潛在的攻擊訊號。

SIEM平臺的另一個優勢在於，它們可以將資料整合到報告中。也就是說，SIEM平臺能夠出於合規的目的，自動生成審計報告。這些報告通過展現當前組織內部的風險狀況，以協助各個利益相關方(包括不精通網路安全的高管、以及其他決策者)理解組織的安全態勢。

威脅情報

威脅情報平臺可以與SIEM系統相整合，提供警告的上下文。如今，各個組織往往會用到一整套安全工具，而其中的每個工具都會生成各種警告。如前所述，SIEM技術能夠將各種工具生成的資訊彙總起來。而威脅情報工具則會通過各種威脅向量、及其技術資料，讓這些資訊更加「豐富」、且有根據。

可以說，將威脅情報與SIEM結合使用的主要優勢就在於：安全運營團隊能夠確定警告的優先順序，減少誤報的數量，確保自動化的流程更加高效，以及用最短的時間去處置那些真正可疑的異常行為與攻擊。

當然，除了對警告進行優先順序排序之外，威脅情報團隊還能夠通過提供上下文資訊，讓分析師有針對性地評估和確定每個警告的真正內容與風險級別。實際上，分析師和其他利益相關者可以使用威脅情報平臺，快速地確定警告的來源，識別受影響的系統和裝置，進而發現威脅的類型。如有需要，分析師還可以快速地開展更深層次的調查，並追逐相關的惡意活動。

Web應用程式防火牆 (WAF)

WAF旨在保護目標網路免受惡意流量的侵害。它通過參考OWASP十大安全漏洞、零日威脅、未知應用漏洞、和其他基於Web的威脅，及時有效地保護業務關鍵型Web應用，免受各種威脅的入侵。

雖然WAF有著多種類型，但是它們都有一個相似的目標——通過分析各種HTTP的互動，在惡意攻擊抵達伺服器之前，減少或消除這些惡意流量的准入。

與傳統防火牆相比，WAF能夠更好地瞭解通過HTTP傳輸的各類敏感資訊。也就是說，WAF可以防範那些通常能夠繞過傳統網路防火牆的攻擊。而其另一個關鍵優勢在於：WAF不需要更改應用程式的原始碼，而是通過檢測惡意流量，來阻擋黑客利用應用漏洞的各種可能。

擴展檢測和響應(eXtended Detection and Response，XDR)

XDR技術屬於主動防禦類型的安全技術棧。它不但提供了橫跨多個數據源的全面可視性，而且使用警告分類和威脅搜尋的方式，來搜尋數字資產中的未知威脅。憑藉著大資料分析和人工智慧(AI)，XDR能夠對包括雲端、網路和終端等環境，開展自動化的智慧搜尋、資料關聯、並提供各種豐富的屬性值。

在搜尋威脅之前，XDR方案會分析所有資料來源中實體、操作、使用者的各項行為。通過事先將此類資訊予以關聯，以便創建一個被視為正常行為的基線。而有了基線之後，XDR技術會檢索各種異常行為，通過對其進行比對分析，讓分析師更有針對性地去查詢威脅。

SOC通常會採用XDR技術，來發現威脅的來源點、以及當前位置。同時，運營團隊也可以利用XDR，來簡化工作流程，並減少多工處理的時間與複雜性。這裡的多工主要包括：事件調查和響應、威脅搜尋、以及事件分類等。

零信任

零信任安全模型的基本原則是：網路上的任何元件都是不可信任的。它會假設使用者賬戶和裝置已經被盜用，因此只能向任何使用者或裝置授予儘可能少的許可權，並且要不斷驗證身份。據此，零信任可以確保新增和實施更多的安全層面，以防止惡意行為者潛入網路，同時也防止內部人員執行未經授權的操作。

在零信任看來，內部網路與外部同樣容易受到威脅的入侵，因此需要提供同等的保護。因此，那些落地了零信任的組織，會實施物理和邏輯上的網路分段技術，以確保網路中的各個實體，只能連線到相關的資產上，而不能橫向移動到網路的其他部分。在技術實現上，零信任網路技術會對連線到公司系統的使用者、以及應用程式和服務角色，進行強身份驗證，並使用一個策略引擎，來確定「在何種情況下，允許誰訪問哪些內容」。

安全自動化、編排和響應 (Security Automation, Orchestration, and Response SOAR)

SOAR是一個通過使用一系列整合工具，來實現自動檢測和響應警告的平臺。SOAR並非一個獨立的系統，而是可以有效地編排和利用那些部署在SOC內部的其他系統。

SOAR通常可以提供如下功能：

• 傳統任務的自動化——包括漏洞掃描、日誌查詢、新使用者配置、以及非活動帳戶配置的凍結等。

• 自動化響應——SOAR會根據預定義的劇本(playbook)，按計劃自動響應各種警告。

• 編排——通過整合和關聯多個安全工具的輸出，來自動分析各類安全事件。

可以說，SOAR不但可以使用自動化的劇本，來顯著地加快對於警告的響應，而且還能夠確保安全分析師，不會再重複的手動任務上浪費時間，進而將其現有的分析技能用於更為複雜的威脅場景中。

區塊鏈網路安全

由於區塊鏈技術能夠在交易的雙方之間建立真實的身份通訊，也就是業界常提到的對等網路(peer-to-peer network)設計，因此區塊鏈網路安全已正日益得到重視與關注。在該模型中，區塊鏈中的每個成員都有責任驗證任何被新增的資料真實性。據此，它為資料創建了一個幾乎不可被滲透的網路，從而提供了高度的安全性。

小結

通過綜合利用上述技術，SOC可以廣泛全面地檢測和響應各種安全威脅。最後，讓我們總結一下SOC該如何有效地使用這些高階的安全工具：

• SIEM系統可以從整個組織中收集各類安全事件，並生成可操作性的警告。

• 威脅情報可以使用來自全球數百萬條安全事件的資料，來豐富組織對內部事件的判斷力。

• Web應用防火牆(WAF)為應用程式流量提供了實時的安全層，可以通過設定策略和規則，來動態地應用到各種流量模式上。

• 擴展檢測和響應(XDR)支援針對橫跨IT環境多個部分的攻擊，以實現統一的可視性、檢測和響應。

• 零信任能夠更加嚴格地管控企業網路的內部流量，並防止特權賬戶通過橫向移動構成威脅。

• 安全自動化、編排和響應(SOAR)可以定義一系列複雜的自動化活動，通過結合多種安全工具，對安全事件進行自動化的響應。

• 區塊鏈網路安全可以保護敏感資料，並讓這些資料對於攻擊者毫無用處。