资安监控中心(SOC)
随着企业网路的高度依赖,骇客攻击技巧也不断演化,从勒索病毒、IoT漏洞攻击、到加密虚拟货币挖矿程式等,针对性攻击手法已成主流,对于企业有形及无形造成严重的损失。 资安监控中心可即时掌控组织资讯安全狀态及风险等级并提供相关风险控制技术支援,实时拦截入侵及攻击,保障企业资安全风险. 对抗资安威胁,许多企业打造自有或外判SOC资安监控中心,要建置具有更准确资安防护机制的SOC资安监控中心,除了在资安事件爆发后追踪恶意程式阻止散播及事后调查预防之外,应同时具备阻止骇客的概念,从了解骇客于前期开发恶意程式即开始掌握,准确掌握威胁情报,早一步协助企业或客户全面保护重要情资。 资讯安全监控中心通常具备事前预防的「资安警讯管理」、「资安弱点管理」;事中监看的「资安设备管理」、「资安事件监看」;以及事后处理的「资安事故处理」五种功能。事前预防可以透过蒐集发布之资安警讯并进行弱点侦测和渗透测试降低资安事件风险。事中监看是对组织现有资讯资产维护管理及蒐集资安事件资料,并分析转化为可判读之资安资讯,协助资安人员管控。事后处理则包含回復受害资产状态及资安事故的採证鑑识,以避免类似事故再次发生。
一个较完善的SOC应该具有以下功能
- 统一日誌管理
- 统一配置管理
- 各安全产品和系统的统一协调和处理
- 设备的自动发现
- 安全培训管理
- 风险分析自动化