說明

SOC(Security Operation Center)，當一間公司有一定的規模，其需要關注的事件大幅增加，無法一個人單打獨鬥，需要跟許多部門合作時就需要這個單位，ithome有一系列主題，其中講到世界一流網路安全維運中心的11個策略，藉著這個機會，一個個章節導讀一遍。

官方頁面
https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center
重點版PDF
https://www.mitre.org/sites/default/files/2022-04/11-strategies-world-class-csoc-highlights.pdf
完整版PDF
https://www.mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf

作法

什麼是SOC，它為什麼重要?

SOC是負責監控、偵測、分析和應對資安威脅和事件的團隊。以確保企業的機密性、完整性和可用性。
為實現這一目標，需要包括系統工程、資安政策和員工培訓。並負責監控網路流量、系統日誌和安全事件，對可能的資安威脅做出快速響應。總而言之，SOC在維護企業的資安方面發揮著關鍵作用。

SOC的職能分類和領域：

• 事件篩選、分析和應對
• 資安威脅情報、狩獵和分析
• 擴展的SOC營運
• 弱點管理
• SOC工具、架構和工程
• 態勢感知、溝通和培訓
• 領導和管理

Situation awareness: 狀態意識，中國大陸稱為態勢感知，對應在時間和空間的環境性元素及事件的知覺，並包括對它們意思的理解，及對一些變數改變後的狀態預測。

SOC的使命在於提供和整理龐大的安全相關數據，必須確保能夠在正確的時間、正確的情境下收集並理解這些數據，這需要使用多種技術和自動化流程來生成、收集、濃縮、分析、存儲並呈現給SOC成員進行分析。

事件(event) 系統和/或網路中任何可觀察到的
警報(Alert) 指已發生特定事件或一系列事件通知

事件關聯

No matter how severe it may seem, a single alert generally does not provide sufficient evidence that an incident occurred.

這裡書上舉個珍珠港例子，雷達員有發現異常，但傳給另一個單位時卻因為沒有其他資訊輔佐，將其當作誤判，導致後續事件。

分析師將從初始告警開始，結合自動化、流程和自己的經驗來收集額外的信息，根據上下文來確定事件的真實情況。處理不斷湧入的警報進行分類，決定誰需要優先處理

SOC的工作流程

The key to effective security operations is having the people, process,and technology to enable the SOC to detect, understand, and respond to the adversary rapidly, both proactively and reactively

套在什麼領域都一樣，需要資源(人、流程、技術)去支撐這個環境

策略

1. 知道您正在保護的內容以及為什麼需要保護它
2. 賦予SOC履行其職責的權限
3. 建立一個符合組織需求的結構
4. 招聘和培養優秀的人員
5. 優先處理安全事件應對
6. 利用資安情報揭示對手行為
7. 選擇並收集正確的資料
8. 利用工具支援分析師的工作流程
9. 清晰溝通、頻繁合作並慷慨分享資訊
10. 測量表現以改進績效
11. 透過擴展SOC功能來提升能力

結論

IT以提供營運服務保持穩定優先，而SOC專注安全事件處理，兩個觀點不同，身兼多個身分時可能會忽略某面向而產生問題。例如為了快速服務建置而缺少驗證；或是限制過多上網功能讓開發人員無法有效取得資訊，影響營運服務上線。而規模越大單位再溝通管道上又不順暢時，很容易有複合問題產生。

補充:

SANS Blueprint Podcast
https://www.sans.org/podcasts/blueprint/

Fundamentals: 11 Strategies of a World-Class SOC | SANS Blueprint Podcast