企业安全运营中心(SOC)实践分享课件

企业安全运营中心（SOC）实践分享2018.6企业安全运营中心（SOC）实践分享2018.61IBM

Security如何建立一个企业级安全运营中心应对安全威胁如何根据企业的不同情况，选择最佳的SOC模型2©2017IBM

Corporation议题IBMSecurity如何建立一个企业级安全运营中心应对安IBM

Security公司通常会出于纵深防御战略的考虑而购买一系列安全解决方案数据没有得到优化3©2017IBM

Corporation分析斗争最佳实践的踌躇不决这些措施通常产生数百万个日志和事件，其中很少有相互关联或协调的。没有全局可视性Firewall统一威胁管理系统入侵检测与防护防病毒Next-generation-X主机入侵检测与防护安全网关E-mail安全信息与事件管理(SIEM)Web应用防火墙云，移动，IoTIBMSecurity公司通常会出于纵深防御战略的考虑而购IBM

Security1 如果架构配置正确的话，是不是可以起到预防作用？如果技术得到了购买、部署和有效运行，本可以终止这个攻击？23本来是能被终止的，但检测到的信息被忽略了4 可能已经被发现，但是由于数据太多而错过了这次攻击在被成功的攻击之后，我们会问：4©2017IBM

Corporation尽管有了这些投资，但随着业务增长和实现公司目标而规模扩大客户依然挣扎于如何满足最佳实践IBMSecurity1 如果架构配置正确的话，是不是可©2017IBM

CorporationIBM

Security让您的安全投资发挥最大作用5©2017IBMCorporationIBMSecuIBM

Security精心安排威胁预防技术整合日常任务Tier

1Tier

2Tier

3构建SOC6©2017IBM

CorporationIBMSecurity精心安排威胁预防技术整合日常任务TiIBM

SecuritySOC架构设计SOC流程与组织设计SOC

Use

Case设计SIEM

实施与整合安全事件响应与Ticketing设计威胁情报功能设计与实施SOC报告设计与实施测试，试点与过渡运行SOC的建设步骤7©2017IBM

CorporationIBMSecuritySOC架构设计SOC流程与组织设计SIBM

SecuritySOC架构是指的可以支持SOC的概念体系结构，当这个架构从概念变成实现时，将帮助安全团队通过人员、流程和技术的组合来管理和减轻信息安全风险。SOC的基础架构大致包括：SOC服务目录系统拓扑架构视图（如：SIEM,

ticketing)SOC运营模型SOC组件模型SOC运营依赖性SOC交付位置非功能性需求SOC架构设计8©2017IBM

CorporationIBMSecuritySOC架构是指的可以支持SOC的概念IBM

Security典型的SOC架构设计内容9©2017IBM

CorporationIBMSecurity典型的SOC架构设计内容9©201IBM

Security以安全为中心的组织准备独一无二的人员管理规划，将会提供显著的长期回报SOC流程必须被文档化，持续实施并且基于现有的标准和治理框架。SOC流程与组织设计10©2017IBM

CorporationIBMSecurity以安全为中心的组织准备独一无二的人IBM

Security流程相关文档流程相关文档流程图流程描述度量

(KPI/SLO/SLA)职责矩阵

(RACI)…流程是SOC建设中必不可少的部分11©2017IBM

CorporationIBMSecurity流程相关文档流程相关文档流程图流程IBM

SecuritySOC实施经理SOC

工程经理(建设)安全系统管理员安全策略管理员设备管理员SOC

监控Tier

1高级威胁分析员威胁分析员威胁分析学员SOC

分诊Tier

2高级威胁响应分析员威胁响应缓解分析员(被动)威胁响应修复分析员

(主动)SOC

升级Tier

3事件案例经理高级事件响应技术分析员安全经理(建设/

计划)SOC

/

安全架构师(计划)IT

运营事件管理问题管理变更管理发布管理设备管理治理SOC组织围绕着标准、建设和运行模型来组建12©2017IBM

CorporationIBMSecuritySOC监控Tier1SOC分IBM

Security在SOC/SIEM中的一个Use

Case是一套规则来解决安全事件关联的特定客户需求，在商业背景下的合规性，规范性和安全性的背景下，提供可见性和检测能力。SOC/SIEM的有效性作为SOC团队的助手在很大程度上取决于部署用例的价值。SOC

Use

Case设计与开发1,2,3BasedonIBMinternal

data. 平均实施一个新的用例的花费在2万美金到5万美金之间.2 识别、设计、开发、测试、实现和调试新用例及其支持规则所需的平均时间是以数周或数月计算的.3 SOC和安全团队必须跟踪您投资组合中用例的价值每年的SOC花费大约30至35%的安全运营中心（SOC）花费在Use

Case的相关活动上。130-35%13©2017IBM

Corporation新数据用例规则报告IBMSecurity在SOC/SIEM中的一个UseCIBM

Security用例需求信息收集与分析用例基线收集用例培训技术规范模板中的用例文档草稿建在SIEM之上的用例用例监控用例验证与调试用例文档在技术规范模板中的定稿用例测试与再调整用例接收测试用例微调用例响应&调查技术&流程129 10611 1253 47 8321Use

Case决定了SOC的运行效果Use

Case

框架模型14©2017IBM

Corporation典型的用例建设基本步骤IBMSecurity用例需求信息收集与分析129 106IBM

SecuritySIEM实施即实施SIEM平台以确保完全支持SOC所有功能确保SIEM所有保存的数据都能满足对于数据安全的策略要求数据源收集识别，分析和优先排序各数据源对于非通用数据源/接口，进行二次开发以确保SIEM可以正确识别和分析其内容SIEM实施与集成15©2017IBM

CorporationIBMSecuritySIEM实施即实施SIEM平台以确保IBM

SecuritySOC的技术基础是以SIEM为核心16©2017IBM

CorporationIBMSecuritySOC的技术基础是以SIEM为核心1IBM

Security开发事件响应框架，包括:流程，有哪些需要处理响应团队和角色（谁来做，如何做）安全事件优先级和提升开发Ticketing活动，包括：与相关团队评估Ticketing要求准备SOC

Ticketing建议和要求工作队列的角色/功能要求工作流程自动化要求SOCticket领域要求产生工作流程规范将Ticketing系统整合到安全事件响应流程中安全事件响应与Ticketing系统设计17©2017IBM

CorporationIBMSecurity开发事件响应框架，包括:安全事件响应IBM

Security安全事件响应交付18©2017IBM

CorporationIBMSecurity安全事件响应交付18©2017IIBM

Security在SOC环境中建立威胁情报功能，这是在日常的SOC操作强制性的指导和协助SOC分析师进行分析，并与业务和风险办公室对接，确保在风险和威胁方面，维持用户暴露于最低限度不变。威胁情报功能设计与实施19©2017IBM

CorporationIBMSecurity在SOC环境中建立威胁情报功能，这是IBM

SecurityEmail20©2017IBM

CorporationRFIsVendorfeedsIOCsQueriesVendorfeeds战术角度告警提升运营角度威胁情报报告支持安全事件响应威胁狩猎战略角度地缘分析利益相关者参与情报需求（收集）与SOC分析师和信息管理人员一起，战术分析师领导和负责分流入站的数据，提供威胁指标告警运营分析师领导和负责将威胁指标充实、调查（威胁狩猎），产生威胁情报报告，支持安全事件响应战略分析师领导和负责预测网络威胁，涉及地缘事件、威胁基准扫描、威胁情报报告和提供上下文直为对SOC提供支持威胁情报团队威胁情报分析工作应涵盖情报功能的完整连续性分流IBMSecurityEmail20©2017IBMIBM

SecuritySOC报告可以为业务提供良好的洞察力，确定其风险修复活动的优先次序。SOC报告设计与实施21©2017IBM

CorporationIBMSecuritySOC报告可以为业务提供良好的洞察力IBM

Security 运营指标:财务指标组织人员指标– 验证威胁总结– PCE全部人员数

/

离职数

/

开– 响应时间（队列等待时间）– 每个威胁成本放职位– 检测时间（从告警开始到事故– 增值时间供应商分配情况确认）– 浪费管理人员比例– 全球/

过去30天趋势– 员工利用率员工平均成本– 地区/

过去30天趋势供应商成本平均缺陷率运营时间

/

有效性生产率– 主动威胁分析效率（可用人天

/

计划人天

/

实际工时）– 流程能力– 新的主动威胁检测计数22©2017IBM

Corporation部分SOC运营度量指标IBMSecurity 运营指标:财务指标组织人员指标IBM

Security运营测试包括：执行所有流程和技术相关单元或系统测试执行SOC上线前测试以确保所有组件已经具备了在线运营条件测试，试点与过渡运行23©2017IBM

CorporationIBMSecurity运营测试包括：测试，试点与过渡运行2IBM

Security24©2017IBM

CorporationIBMSecurity24©2017IBMCorpoIBM

Security选择最佳的SOC模型取决于业务和技术的需求、风险和财务的约束集中化分散化业务要求全球单一SoC最低的成本简单的管理多个SOC（地理或布）成本高更难管理技术要求标准化简单的平台最低成本的实施和运作良好的风险管理能力易于规模经营关于威胁的适度细节高度定制复杂的平台实施/操作成本高优秀的风险管理能力更贵的规模经营关于威胁的丰富细节外部管理内部管理风险承受较短的实施周期执行/操作的最低成本不是核心业务利用行业最佳实践长实施周期实施和操作成本高核心业务频繁的评估财务限制低成本实施成本最低最低运营成本高成本实现成本最高最高运营成本25©2017IBM

CorporationIBMSecurity选择最佳的SOC模型取决于业务和技术IBM

Security一家全球性的制造企业26©2017IBM

CorporationIBMSecurity一家全球性的制造企业26©2017IBM

Security某世界著名投行——把SOC的边界向外延伸27©2017IBM

CorporationIBMSecurity某世界著名投行——把SOC的边界向外IBM

Security成熟的安全运营中心有能力超越传统的威胁管理，成为管理一系列业务风险的协调点。SOC仍在持续发展从SOC转向JRAC

（联合风险分析中心）自动化已知的威胁处理新的（未知）威胁的结构化处理方法改善的报告和执行仪表板操作技术风险管理将威胁管理扩展到应用程序保护核心业务流程（数字化）欺诈反洗钱保护和捍卫品牌（社会媒体分析）监控物联网与组织的相关性协调企业对业务风险的反应28©2017IBM

CorporationIBMSecurity成熟的安全运营中心有能力超越传统的IBM

Security谢谢~29©2017IBM

CorporationIBMSecurity谢谢~29©2017IBMCo©CopyrightIBMCorporation2016.Allrightsreserved.Theinformationcontainedinthesematerialsisprovidedforinformationalpurposesonly,andisprovidedASISwithoutwarrantyofanykind,expressorimplied.IBMshallnotberesponsibleforanydamagesarisingoutoftheuseof,orotherwiserelatedto,thesematerials.Nothingcontainedinthesematerialsisintendedto,norshallhavetheeffectof,creatinganywarrantiesorrepresentationsfromIBMoritssuppliersorlicensors,oralteringthetermsandconditionsoftheapplicablelicenseagreementgoverningtheuseofIBMsoftware.ReferencesinthesematerialstoIBMproducts,programs,orservicesdonotimplythattheywillbeavailableinallcountriesinwhichIBMoperates.Productreleasedatesand/orcapabilitiesreferencedinthesematerialsmaychangeatanytimeatIBM’ssolediscretionbasedonmarketopportunitiesorotherfactors,andarenotintendedtobeacommitmenttofutureproductorfeatureavailabilityinanyway.IBM,theIBMlogo,andotherIBMproductsandservicesaretrademarksoftheInternationalBusinessMachinesCorporation,intheUnitedStates,othercountriesorboth.Othercompany,product,orservicenamesmaybetrademarksorservicemarksof

others.StatementofGoodSecurityPractices:ITsystemsecurityinvolvesprotectingsystemsandinformationthroughprevention,detectionandresponsetoimproperaccessfromwithinandoutsideyourenterp