编写澳门赌场官方下载安全运营中心章程

安全运营中心(SOC)是大中型组织信息安全的核心. 它通过监测基础设施和管理其网络健康来确保组织的网络健康. SOC使用传感器来监控软件和硬件设备的状态，以检查弱点和风险区域, 哪些是作为日常操作的一部分向直接采取补救措施的管理层报告的.

SOC的使命经常被低估或根本没有定义. SOC的主要目的是执行与网络事件相关的核心功能, 但也有次要的功能要执行(如.e.、管理及持续运作).

SOC应该是升级的中心点, 支持和指导组织的安全计划. 它帮助制定信息安全和隐私预防的路线图, 保护, and response; identify future priorities; and define architecture design requirements. SOC还应负责审查和控制所编制的事件信息的质量，并领导所有SOC能力的持续改进. 另外, SOC支持组织内的安全咨询功能，并管理解决监控报告和相关指标中注意到的问题所需的操作.

建立强大的SOC并支持其需求, 应编写章程，确定必须执行的核心运营和管理活动.

SOC核心功能概述

SOC的核心功能包括信息安全框架的完整需求列表. SOC章程中应该概述一些属性，包括:

• 预防活动。主动收集, 分析, 并传播相关的威胁情报以防止, 为......准备, 并传达即将到来的攻击信息. 预防还包括开发、更新和开展网络安全工具的研究. 培训保安人员是一项不应忽视的额外责任, 特别是当人员变动或采用新的软件工具时.
• 保护- - - - - -Conducting threat hunting; 监控 infrastructure, 系统, and applications; and ensuring that the infrastructure has backups and other necessary recovery components
• 检测,持续执行基础设施安全监控和检测. 技术包括进行脆弱性评估, 支持审核和事件单处理, 并就调查结果提供报告.
• 分类(我.e.(确定紧急程度)SOC团队分类, 关联, 优先处理事件, 为进一步调查和可能的回应安排任务.
• 调查,进行数字取证和相关活动，以确定事件的范围, 影响或事件的根本原因
• 事件反应- - - - - -制定事件响应计划, 协调活动并履行应对网络安全和隐私事件的职责. 事件响应职责包括流量和攻击向量的事件监控(针对恶意软件和攻击者目标和活动)，并通知管理范围, 入侵和妥协的数量和速度. 剧本和练习是快速有效反应的关键.
• 〇遏制和恢复包含网络安全和隐私事件，并支持系统和数据恢复服务. 遏制措施可以简单到断开受感染设备或子网的连接, 或者它可能升级为组织警报. 恢复可能涉及重新安装操作系统和/或软件产品，或者只是重新启动受影响的设备. 事件的规模和工作量因攻击的有效性而异, 检测时间, 是时候调查并决定行动方向了, 以及实施响应的时间.
• 复苏- - - - - -支持(有时指导)和协助恢复工作. 当服务器和存储区域受到影响时, 恢复需要安装备份软件, 数据文件, 以及交易文件. 如果不经常执行备份或未进行保护，则很难重新创建生产环境的上次最佳状态, 应急计划¹ 文件和程序过时，和/或员工没有经过培训和测试.² 如果恢复是基于勒索软件攻击，³ 管理层可能会参与与攻击者的谈判, 可能需要应急计划(因为这可能被视为灾难事件), 或者可能需要大量的工作来重新创建系统, data, 生产环境.

识别管理功能

除了核心SOC功能, 章程应确定管理和协调要求. 管理层应该优先考虑在信息安全事件方面充当执法机构的官方联络点，并在专业人员中领导对信息安全事件的响应, 有效及时的方式.

支持正在进行的操作功能

SOC的另一个次要功能应该在章程中详细说明，即支持正在进行的操作. 这些活动可能包括提供内部政策和监督遵从性支持和信息, 指导, 并协助降低资讯安全事件的风险. 支持其他安全团队是挑战的必要条件, 调整, 及时改进或引入安全控制. SOC旨在通过监督网络运营和网络安全流程和功能来保护组织免受网络攻击. 为SOC架构设计和工程提供支持, 进行安全管理和管理组织的渗透测试程序是至关重要的.

在大型组织中, 如果使用云服务提供商(csp)，关注的操作领域很容易变得复杂, 系统外包给外部数据中心, 或者有多个数据中心来支持全国各地的地区. 与多个站点协调, 服务提供商, 供应商需要了解许多接触点的知识(例如.e., 经理, 供应商, 反应小组, 支持人员), 架构所涉及, 系统配置弱点和漏洞, 以及协调和定期的测试. 内部支持和安全即服务(SecaaS)也会使攻击意识复杂化, 监控, 容器, 响应和恢复.

利用指标

对于操作和管理功能来说，一个经常被忽视的资源是度量标准. 收集度量标准提供了一种测量和跟踪性能、事件活动(例如.e.(当事件打开或关闭时)和趋势. 度量工具可以在管理领域中实现, 预防, 保护, 检测, 遏制和恢复, 恢复和操作.

度量标准可以帮助管理层跟踪事件的数量、影响和成本. 指标可能包括一段时间内网络安全事件的数量, 隐私事件的数量和受其影响的个人数量, 以及高影响事件的数量. 确定事件的总成本(1).e., 人工成本, 差旅费用, 解决事件所需的设备和第三方组织)是一个重要的业务指标. 这些指标不仅有助于证明软件的成本, 工作人员, 测试, 和培训, 但可能会强调需要更好、更多的工具和项目.g.，人工智能[AI];⁴ 威胁狩猎). 必须跟踪投资和费用，因为它们对组织的底线和整体成功非常重要. 未能防止或快速解决勒索软件攻击可能对组织的生存有害.

与预防相关的度量度量组织补救工作的有效性. 例子包括:

• 具有严重和高漏洞的设备数量
• 按设备和子网划分的严重漏洞和高危漏洞数量
• 每月发现的威胁数量
• 执行的渗透测试数量以及按严重性和类型划分的漏洞数量

了解有关全球威胁情报的漏洞⁵ 能否提高管理层对外部威胁环境的认识. 来自供应商和威胁监控组织的信息可以帮助预防(和恢复)新的攻击，并可能使威胁不再是问题.

有用的保护度量包括按时间段分发的警报数量, 已更新防病毒软件的设备数量, 安装了最新安全补丁的设备数量和未安装安全补丁的设备数量. 与配置缺陷相关的度量标准也是确定补救工作(例如.g.(人员、资金、时间). 理解这些指标有助于组织更有效地分配资源.

与事件检测相关的公共度量标准, 遏制和恢复在本质上是可操作的，包括检测网络安全威胁的时间, 发现或发现的平均时间, 是时候应对网络安全威胁了, 控制网络安全威胁的时间以及网络安全工具在一段时间内检测到的威胁数量. 这些指标提供了SOC的有效性如何随着时间的推移而提高或减弱的信息. 可能需要在使用的工具、人员配置(i.e., 替换现有员工, 获取新的), 培训, 练习, 以及可能的供应商(或承包商)支持. 与地区soc进行交叉培训也会有所帮助.

事件恢复度量标准可以深入了解事件响应团队的有效性. 度量指标可能包括解决网络安全威胁所需的时间, 恢复或修理的平均时间和恢复的停机时间(i.e.(业务中断时间). 随着时间的推移，趋势将推动对资源变化的需求, 人员配备, 流程, 程序，可能还有整个监管方法和恢复计划.

结论

SOC的章程有助于定义最低管理和操作要求，并提供安全的操作环境，使管理层随时了解当前事件, 信息安全的弱点(和数量)和趋势. SOC的优点包括持续保护, 快速有效的反应, 降低违规和操作成本, 威胁的预防, 安全专业知识, 沟通与协作, 法规遵从性和提高商业声誉. 通过度量做出明智决策的好处包括改进对信息安全状态和计划的管理, 预防未来的网络安全事件, 避免重大的经济损失, 防止名誉受损, 确保能够快速响应政府数据保护和合规法规和/或董事会监督查询. 拥有卓越中心可以成为组织控制下的其他soc的榜样. 章程规定了一个特定组织需要什么.

尾注

¹ Wlosinski L.; “信息系统应急计划指南,” ISACA^® 杂志,卷. 3, 2021
² Wlosinski L.; “网络安全事件应变演习指引,” ISACA杂志,卷. 1, 2022
³ Wlosinski L.; “勒索软件响应、保障措施和对策,” ISACA杂志,卷. 5, 2020
⁴ Wlosinski L.; “理解和管理人工智能威胁,” ISACA杂志,卷. 1, 2020
⁵ Wlosinski L.; “网络威胁情报作为事件响应的主动扩展,” ISACA杂志,卷. 6, 2021

拉里·G. Wlosinski, CISA, CRISC, CISM, CDPSE, CAP, CBCP, CCSP, CDP, CIPM, CISSP, ITIL v3, PMP

是联邦煤火公司的高级顾问. 他在IT安全和隐私方面拥有超过22年的经验，并在美国政府和专业会议上就这些主题发表过演讲. 他曾为许多杂志和报纸撰写文章，并审查了各种ISACA^® 出版物，以及向注册信息安全经理提出的书面问题^® CISM(概述个人状况^®)及获得风险及资讯系统控制证书^® (CRISC^®)考试.