黑客正在尋找一種方法實現(xiàn)這樣一種場景：在進行攻擊時，不接受任何“答案不正確”的否定回答，并且該攻擊過程持續(xù)的時間最好可以長一些。–《Security Weekly》的創(chuàng)始人兼首席技術官Paul Asadoorian如是說。

　　隨著網(wǎng)絡設備的增多，黑客在不斷地使用最新技術武裝自己，攻擊手段在不斷地變化，攻擊工具也在不斷地更新，攻擊者甚至會嘗試采用不同的技術，利用組織中所有可能的安全漏洞，進行不間斷地攻擊。

　　為了在黑客攻擊之前發(fā)現(xiàn)并阻止他們，一般情況下，公司會有一個專門的網(wǎng)絡安全團隊（Security Operations Center），或者專業(yè)的外包團隊，其主要任務是提前發(fā)現(xiàn)并阻止網(wǎng)絡攻擊，及早采取響應措施。

　　什么是安全運營中心？

　　安全運營中心通常被簡稱為SOC(Security Operations Center)，是公司內24x7全天候工作的核心團隊，時刻監(jiān)視著網(wǎng)絡活動，及時應對安全威脅。SOC團隊的目標是使用一系列的解決方案或工具，再結合工作流，最大程度上緩解網(wǎng)絡攻擊。

　　與常規(guī)的IT部門不一樣。SOC通常由一些專業(yè)的安全工程師組成，根據(jù)企業(yè)的不同，SOC可能包括在網(wǎng)絡安全領域具有某些特定技能或深諳某種攻擊技術的安全專家，例如入侵檢測、惡意軟件逆向工程、風險分析、取證分析、密碼分析等；另一方面體現(xiàn)在SOC的安全職責，SOC的核心職責是阻止網(wǎng)絡攻擊和監(jiān)視用戶授權的遵守情況，對各種安全事件進行分析、統(tǒng)計和關聯(lián)，及時發(fā)布告警，快速響應。

　　阻止網(wǎng)絡攻擊

　　SOC通過監(jiān)控和分析多種網(wǎng)絡設備的運行狀態(tài)，如服務器、數(shù)據(jù)庫、應用程序、網(wǎng)站和其他系統(tǒng)上的網(wǎng)絡活動，對多個“毫不相干”的網(wǎng)絡事件進行關聯(lián)分析，尋找潛在的惡意網(wǎng)絡安全行為。這也對SOC人員有了另一個要求，即需要實時了解最新的網(wǎng)絡犯罪活動，了解最新的網(wǎng)絡安全應對措施。

　　此外，SOC還應制定多個計劃，定期執(zhí)行網(wǎng)絡檢查、更新系統(tǒng)、修補漏洞和更新防火墻規(guī)則。但有些時候，一些正常的網(wǎng)絡活動也會觸發(fā)告警，如新規(guī)則的添加或者對現(xiàn)有規(guī)則的修改都會觸發(fā)告警，產生誤報，因此SOC人員應制定一些合理的計劃，旨在消除誤報。

　　監(jiān)視用戶授權的遵守情況

　　滿足IT合規(guī)性要求從來都不是一項簡單的工作，更不是一次性的工作。無論是公司內部安全策略審核還是為了遵守IT法規(guī)要求，監(jiān)視網(wǎng)絡中是否存在任何的用戶違規(guī)行為是必不可少的。SOC需要實時監(jiān)視常規(guī)的用戶活動，更需要監(jiān)視那些有變更行為的用戶活動，確保公司始終滿足合規(guī)性標準，如PCI DSS，HIPAA，SOX，GDPR，F(xiàn)ISMA等法規(guī)的一個最基本的要求就是需要公司有一個對用戶活動的實時審計報表。

　　SOC如何工作？

　　SOC主要借助于安全信息和事件管理（SIEM）解決方案來阻止網(wǎng)絡攻擊并滿足IT合規(guī)性要求，這些SIEM解決方案會使用多種技術來建立一個完整的網(wǎng)絡安全監(jiān)控系統(tǒng)，維護公司網(wǎng)絡的安全性，并關聯(lián)所有安全事件以檢測任何潛在的攻擊跡象，避免一切網(wǎng)絡攻擊。

　　SIEM解決方案提供的主要功能包括：

　　· 日志管理

　　· 事件管理

　　· 特權用戶活動監(jiān)控

　　· 威脅情報

　　· 用戶實體和行為分析（UEBA）

　　· 取證分析和報告

　　· 文件完整性監(jiān)控

　　· 數(shù)據(jù)庫和應用程序審核

　　· 網(wǎng)絡設備審核

　　· Active Directory變更審核

　　這些功能之所以都重要，是因為其中任何一項的監(jiān)控被忽視，都會導致整個網(wǎng)絡受到不同程度或不同類型的攻擊，以及長時間的修復，因此SOC選擇一個可以自動監(jiān)控并采取措施的SIEM解決方案非常重要。

　　歡迎了解卓豪ManageEngine的SIEM一站式解決方案Log360，現(xiàn)在您可免費試用30天，自行測試其功能，了解它如何幫助SOC人員應對網(wǎng)絡攻擊。