Lakshmi Narayanan Kaliyaperumal
資安監控中心(Security Operation Center, SOC)的發展持續相當多年,有那些重要演進階段?我們找到一份呈現資安監控中心發展階段的報告,當中有張圖表特別展現了近代SOC的演進。臺灣有不少SOC業者的公開演講中,也經常使用這張圖表來說明。
此份相當具有參考價值的SOC發展報告,作者是Infosys副總裁兼網路安全技術與營運主管Lakshmi Narayanan Kaliyaperumal,在2021年10月,於ISACA國際電腦稽核期刊發表。根據Lakshmi的說明,我們可看出SOC的重要演進如下:
第一階段演進:反應式監控
在2000年以前,早期SOC的主要職責是處理病毒警報、偵測入侵與回應事件,主要是政府與國防單位實施,到了2000年後,大型企業與銀行開始實施類似的監控作業。從單純具監控能力,進一步做出事件回應。
第二階段演進:主動式監控
在2007年到2013年間,面對APT進階持續性威脅增長,對安全監控至關重要的安全解決方案開始出現,包括:安全資訊事件管理系統(SIEM),以及資料外洩防護(DLP)等。
此時的SOC聚焦於匯整日誌監控、合規性合規與惡意程式分析。同時,安全委外營運服務供應商(MSSP)崛起,也隨安全維運的需求增加,而獲得發展。
在2013年到2015年間,更多幫助主動式監控的安全解決方案興起,包括:使用者內部存取行為分析(UEBA)、威脅情資威脅情報平臺,也成為SOC重要組成,而在雲端趨勢的潮流下,也隨雲端安全代理(CASB)、BYOD等議題而擴展。此時,Hybrid SOC的發展也受看重。
第三階段演進:具自動化的主動式監控
近年的技術發展來看,不論是大數據、EDR、NDR技術更趨成熟,如今XDR方案的發展亦受到看重。
雲端安全的發展也更蓬勃,包括雲端原生SIEM的出現,以及雲端安全狀態管理(CSPM)、雲端工作負載防護平臺(CWPP)等,這也促使基於雲端的偵測與回應,以及基於雲端的威脅獵捕。
更重要的是,還有自動化技術的演進,不論是資安協調、自動化與回應(SOAR)方案的發展,以及自動化腳本(Playbook)等概念,甚至各類偵測與回應方案的發展,都隱含這樣的概念。
總和來說,過去的SOC無法跟上當今先進的網路攻擊者的步伐,有兩次重要演進。首先,就是從反應式的監控,邁向主動式的監控,其次,就是從主動式的監控,朝向自動化程度更高的主動式監控。
而在各式偵測與回應技術的自動化能力進步之下,將有助於提高SOC的效率,減輕警示(Alert)超載的壓力,並使事件更容易及早調查與解決。
SOC的演進_圖片來源Lakshmi Narayanan Kaliyaperumal.jpg)
圖片來源/作者Lakshmi Narayanan Kaliyaperumal
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23