安全运营(SecOps)
SecOps 定义
安全运营(SecOps)是一个术语,用来描述组织内安全小组和运营小组之间的协作。多年来,IT 运营持续扩张,分支机构遍布各行各业,这往往会形成各自为政的局面。SecOps 致力于促进 IT 安全与 IT 运营之间的更多合作,以帮助在不牺牲 IT 性能的情况下优先考虑网络和数据安全并降低风险。与类似的 DevSecOps概念相比,它的关注点也更为狭窄,因为 DevOps 小组并不是创建和实施组织安全措施的要求。然而,SecOps 的一个关键原则是确保安全是每个项目的基本组成部分,甚至包括在项目开发的最初阶段。
A key tenet of SecOps is to ensure that security is a fundamental part of every project and included in even the earliest stages of project development.
SecOps vs SOC
SecOps 小组是一个由高技能 IT 和安全专业人员组成的团队,他们负责监控威胁并评估整个组织的风险。SecOps 小组是 安全运营中心 (SOC) 的生命线。SOC 是一个集中的枢纽(物理、虚拟或两者兼有),安全小组就在这里开展工作。SOC 有助于促进安全人员之间的协作,并有助于简化安全操作。
角色的数量和 SOC 团队的规模可根据组织的规模和需求而有所不同,但规模可在 5-14 人之间。这些角色包括 SOC 分析师、安全工程师、安全经理、IT 运营经理和系统管理员,他们都向首席信息安全官 (CISO) 汇报工作。
SecOps 工具
有许多 SecOps 工具都是为了帮助安全小组成功运行 SOC 而创建的。随着技术的发展,这些工具的数量也在不断增加,管理起来可能会出现复杂的孤岛式工具组合。幸运的是,整个行业已经开始进行能力合并,以提供更少的工具和更多的功能。
帮助 SecOps 团队建立主动防御的工具包括
SecOps 面临的挑战
持续的技术创新不断推动业务运营和发展向前发展,但往往以牺牲适当的安全性为代价。安全也在持续进步,但企业主动满足需求的速度较慢,随着新安全漏洞的发现和新威胁的出现,企业更多的是被动应对。虽然对手持续投资于机器学习、自动化和人工智能等新工具,但基于安全信息和事件管理(SIEM)构建的传统 SOC 无法跟上数字化转型和攻击者先进技术的步伐。此外,安全专业人员的短缺,以及实施 SecOps 工具以实现流程自动化(避免分析师倦怠)的缓慢,仍是一大挑战。
传统 SOC 环境带来的 SecOps 挑战包括
- 缺乏可见性和背景
- 调查的复杂性增加
- 警报疲劳和由安全控件生成的大量低保真警报造成的 "噪音"
- 系统缺乏互操作性
- 缺乏自动化和协调
- 无法收集、处理威胁情报数据并将其情景化
SecOps 的优势
SecOps 的目标是改善组织的安全态势,识别安全问题和检测漏洞,并促进各个部门采用统一的安全方法。这种方法有助于跨团队协作,更高效地完成任务,消除重复劳动。实施 SecOps 模式有助于提早发现威胁,降低漏洞风险,提高事件响应时间,从而有助于保持业务的持续性和声誉。
来看看 Palo Alto Networks 自己的安全运营小组是如何实现 SOC 自动化的。
在 SOC 中使用自动化和人工智能
SecOps 小组持续为人工任务而苦恼,包括他们每天必须进行的数量庞大的安全警报和威胁调查。通过利用自动化和分析技术,SecOps 小组可以更好地识别、调查和补救安全威胁和事件。根据 Forrester 的数据,实现 SOC 运营完全自动化是各组织的长期目标,超过 70% 的组织已经开始了自动化之旅。
通过利用人工智能(AI)和机器学习(ML),可以快速识别安全事件,而不会产生需要分析师花费时间、精力和人工补救的低价值警报。人工智能和 ML 可以识别组织中的重要安全事件、
通过将多个来源的数据拼接在一起,同时减少 SOC 所要求的时间和经验,从而实现高保真。
最佳做法:建立强大的 SOC 基础
SecOps 团队必须得到高级管理人员的支持,才能感受到实现目标的力量。首席信息安全官通常是 SecOps 团队与执行团队之间的桥梁,使网络安全与业务目标保持一致。
安全领导者现在就可以采取措施,统一整个组织的安全,简化安全操作。他们需要
- 通过实现事件响应的自动化,缩短平均修复时间 (MTTR):将调查和响应过程中耗时的人工任务自动化,可避免漏发警报,减少调查时间。
- 提高重复性人工任务的自动化程度:减少对战术性繁琐工作的需求,将使分析师有更多时间专注于战略举措。
- 整合安全工具:将安全工具整合到一个集中式平台有助于统一日志记录、警报关联和协调响应。
使用 Cortex 简化 SecOps
通过端到端的本地集成和互操作性,SOC 团队可以在整个 Cortex 生态系统中持续协同,实现威胁闭环。Cortex 全套产品协同工作,监控威胁环境,提供最强大的检测、响应和调查能力:
- Cortex XDR 和 Cortex Xpanse 为互联网攻击面、端点、云和网络提供终极可见性和检测。
- Cortex XDR 和 Cortex Xpanse 利用 Cortex XSOAR 实现全面的协调、自动化和响应能力。
- Cortex XSOAR 利用 Cortex XDR 和 Cortex Xpanse 提供高保真检测和警报,以推动协调工作流程。
访问我们的产品页面了解更多信息,或下载我们的白皮书 "在人工智能时代重新定义 SecOps"。