收藏
下载资源 加入VIP免费专享

企业安全运营中心(SOC)实践分享ppt课件.pptx

上传人:小飞机 文档编号:1747151 上传时间:2022-12-17 格式:PPTX 页数:30 大小:12.98MB
返回 下载 相关 举报
企业安全运营中心(SOC)实践分享ppt课件.pptx_第1页
第1页 / 共30页
企业安全运营中心(SOC)实践分享ppt课件.pptx_第2页
第2页 / 共30页
企业安全运营中心(SOC)实践分享ppt课件.pptx_第3页
第3页 / 共30页
企业安全运营中心(SOC)实践分享ppt课件.pptx_第4页
第4页 / 共30页
企业安全运营中心(SOC)实践分享ppt课件.pptx_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《企业安全运营中心(SOC)实践分享ppt课件.pptx》由会员分享,可在线阅读,更多相关《企业安全运营中心(SOC)实践分享ppt课件.pptx(30页珍藏版)》请在三一办公上搜索。

1、企业安全运营中心(SOC)实践分享,2018.6,IBM Security,如何建立一个企业级安全运营中心应对安全威胁如何根据企业的不同情况,选择最佳的SOC模型,2, 2017 IBM Corporation,议题,IBM Security,公司通常会出于纵深防御战略的考虑而购买一系列安全解决方案,数据没有得到优化,3, 2017 IBM Corporation,分析斗争,最佳实践的踌躇不决,这些措施通常产生数百万个日志和事件,其中很少有相互关联或协调的。,没有全局可视性,Firewall,统一威胁管理系统,入侵检测与防护,防病毒,Next-generation-X,主机入侵检测与防护,安全

2、网关,E-mail安全信息与事件管理(SIEM),Web应用防火墙,云,移动,IoT,IBM Security,1如果架构配置正确的话,是不是 可以起到预防作用?如果技术得到了购买、部署和有效 运行,本可以终止这个攻击?,2,3,本来是能被终止的,但检测到的 信息被忽略了4可能已经被发现,但是由于数 据太多而错过了这次攻击,在被成功的攻击之后,我们会问:,4, 2017 IBM Corporation,尽管有了这些投资,但随着业务增长和实现公司目标而规模扩大 客户依然挣扎于如何满足最佳实践, 2017 IBM Corporation,IBM Security,让您的安全投资发挥最大作用,5,I

3、BM Security,精心安排,威胁预防,技术整合,日常任务,Tier 1,Tier 2,Tier 3,构建SOC,6, 2017 IBM Corporation,IBM Security,SOC架构设计,SOC流程与组织设计,SOC Use Case设计,SIEM 实施与整合,安全事件响应与Ticketing设计,威胁情报功能设计与实施,SOC报告设计与实施,测试,试点与过渡运行,SOC的建设步骤,7, 2017 IBM Corporation,IBM Security,SOC架构是指的可以支持SOC的概念体系结构,当这个架构从概 念变成实现时,将帮助安全团队通过人员、流程和技术的组合来

4、管理和减轻信息安全风险。SOC的基础架构大致包括:SOC服务目录系统拓扑架构视图(如:SIEM, ticketing)SOC运营模型SOC组件模型SOC运营依赖性SOC交付位置非功能性需求,SOC架构设计,8, 2017 IBM Corporation,IBM Security,典型的SOC架构设计内容,9, 2017 IBM Corporation,IBM Security,以安全为中心的组织准备独一无二的人 员管理规划,将会提供显著的长期回报,SOC流程必须被文档化,持续实施并 且基于现有的标准和治理框架。,SOC流程与组织设计,10, 2017 IBM Corporation,IBM S

5、ecurity,流程相关文档,流程相关文档,流程图 流程描述度量 (KPI/SLO/SLA)职责矩阵 (RACI),流程是SOC建设中必不可少的部分,11, 2017 IBM Corporation,IBM Security,SOC实施经理,SOC 工程经理 (建设),安全系统管理员,安全策略管理员,设备管理员,SOC 监控 Tier 1,高级威胁分析员,威胁分析员,威胁分析学员,SOC 分诊 Tier 2,高级威胁响应 分析员,威胁响应缓解分析员(被动),威胁响应修复分析员 (主动),SOC 升级 Tier 3,事件案例经理,高级事件响应 技术分析员,安全经理(建设/ 计划),SOC / 安

6、全架构师 (计划),IT 运营,事件管理,问题管理,变更管理,发布管理,设备管理,治理,SOC组织围绕着标准、建设和运行模型来组建,12, 2017 IBM Corporation,IBM Security,在SOC/SIEM中的一个Use Case是一套规则来解决安全事件关 联的特定客户需求,在商业背景下的合规性,规范性和安全性 的背景下,提供可见性和检测能力。SOC/SIEM的有效性作为 SOC团队的助手在很大程度上取决于部署用例的价值。,SOC Use Case设计与开发,1,2,3 Based on IBM internal data.,平均实施一个新的用例的花费在2万美金到5万美金之

7、间.2,识别、设计、开发、测试、实现和调试新用例及其支持规则所 需的平均时间是以数周或数月计算的.3,SOC和安全团队必须跟踪您投资组合中用例的价值,每年的SOC花费,大约30至35%的安全运营中心(SOC) 花费在Use Case的相关活动上。1,30-35%,13, 2017 IBM Corporation,新数据用例规则报告,IBM Security,用例需求信息收集与分析用例基线收集用例培训技术规范模板中的用例文档草稿建在SIEM之上的用例用例监控用例验证与调试用例文档在技术规范模板中的定稿用例测试与再调整用例接收测试用例微调用例响应&调查技术&流程,1,2,910,6,1112,5,

8、34,78,3,2,1,Use Case决定了SOC的运行效果,Use Case 框架模型,14, 2017 IBM Corporation,典型的用例建设基本步骤,IBM Security,SIEM实施即实施SIEM平台以确保完全支持SOC所有功能确保SIEM所有保存的数据都能满足对于数据安全的策略要求数据源收集识别,分析和优先排序各数据源对于非通用数据源/接口,进行二次开发以确保SIEM可以正确 识别和分析其内容,SIEM实施与集成,15, 2017 IBM Corporation,IBM Security,SOC的技术基础是以SIEM为核心,16, 2017 IBM Corporatio

9、n,IBM Security,开发事件响应框架,包括:流程,有哪些需要处理响应团队和角色(谁来做,如何做)安全事件优先级和提升开发Ticketing活动,包括: 与相关团队评估Ticketing要求准备SOC Ticketing建议和要求工作队列的角色/功能要求工作流程自动化要求SOC ticket领域要求 产生工作流程规范将Ticketing系统整合到安全事件响应流程中,安全事件响应与Ticketing系统设计,17, 2017 IBM Corporation,IBM Security,安全事件响应交付,18, 2017 IBM Corporation,IBM Security,在SOC环境

10、中建立威胁情报功能,这是在日常的 SOC操作强制性的指导和协助SOC分析师进行分 析,并与业务和风险办公室对接,确保在风险和 威胁方面,维持用户暴露于最低限度不变。,威胁情报功能设计与实施,19, 2017 IBM Corporation,IBM Security,Email,20, 2017 IBM Corporation,RFIs,Vendor feeds,IOCs,Queries,Vendor feeds,战术角度,告警,提升,运营角度,威胁情报 报告,支持安全 事件响应,威胁狩猎,战略角度,地缘分析,利益相关者 参与,情报需求(收集),与SOC分析师和信息管理人员一起,战术分析师领导和

11、负责分流入站 的数据,提供威胁指标告警,运营分析师领导和负责将威胁指标充 实、调查(威胁狩猎),产生威胁情 报报告,支持安全事件响应,战略分析师领导和负责预测网络威胁,涉 及地缘事件、威胁基准扫描、威胁情报报 告和提供上下文,直为对 SOC提供 支持,威胁情报团队,威胁情报分析工作应涵盖情报功能的完整连续性,分流,IBM Security,SOC报告可以为业务提供良好的洞察力,确 定其风险修复活动的优先次序。,SOC报告设计与实施,21, 2017 IBM Corporation,IBM Security,22, 2017 IBM Corporation,部分SOC运营度量指标,IBM Sec

12、urity,运营测试包括:执行所有流程和技术相关单元或系统测试执行SOC上线前测试以确保所有组件已经具备了在线运营条件,测试,试点与过渡运行,23, 2017 IBM Corporation,IBM Security,24, 2017 IBM Corporation,IBM Security,选择最佳的SOC模型取决于业务和技术的需求、风险和财务的约束,集中化,分散化,业务要求,全球单一SoC 最低的成本 简单的管理,多个SOC(地理或布)成本高 更难管理,技术要求,标准化,简单的平台最低成本的实施和运作 良好的风险管理能力 易于规模经营关于威胁的适度细节,高度定制,复杂的平台 实施/操作成本

13、高优秀的风险管理能力 更贵的规模经营关于威胁的丰富细节,外部管理,内部管理,风险承受,较短的实施周期执行/操作的最低成本 不是核心业务利用行业最佳实践,长实施周期 实施和操作成本高核心业务 频繁的评估,财务限制,低成本,实施成本最低 最低运营成本,高成本,实现成本最高 最高运营成本,25, 2017 IBM Corporation,IBM Security,一家全球性的制造企业,26, 2017 IBM Corporation,IBM Security,某世界著名投行把SOC的边界向外延伸,27, 2017 IBM Corporation,IBM Security,成熟的安全运营中心有能力超越

14、传 统的威胁管理,成为管理一系列业 务风险的协调点。,SOC仍在持续发展从SOC转向JRAC (联合风险分析中心),自动化已知的威胁处理新的(未知)威胁的结构化处理方法改善的报告和执行仪表板操作技术风险管理将威胁管理扩展到应用程序保护核心业务流程(数字化)欺诈反洗钱保护和捍卫品牌(社会媒体分析)监控物联网与组织的相关性协调企业对业务风险的反应,28, 2017 IBM Corporation,IBM Security,谢谢,29, 2017 IBM Corporation, Copyright IBM Corporation 2016. All rights reserved. The inf

15、ormation contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these mate

16、rials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs,

17、or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IBMs sole discretion based on market opportunities or other factors, and are not intended to be a commitmen

18、t to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks

19、 of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated o

20、r misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, pro

21、ducts and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective.IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.,THANK YOU,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号