安全运营-3：如何迈向成功的SOC之路

任何拥有IT资产的公司或组织都有可能成为黑客的攻击目标，网络攻击者可以使用各种高级网络攻击技术来获取一些有价值的公司内部商业数据，然后进行高价勒索。

马里兰大学的一项研究表明，世界上每39秒就有一次网络攻击事件发生，平均每天发生的网络安全攻击事件多达2244次。尤其自COVID-19疫情爆发以来，很多公司采用了员工居家办公的工作方式，这种情况下，网络攻击事件呈现了指数级的增长趋势，原因在于这种远程办公方式极大地给黑客创造了网络攻击上的很多便利。

Security Intelligence的另一项研究表明，根据最近几年的数据统计，企业数据泄露的平均成本高达392万美元，这样一个数字足以使一个中小型公司永久倒闭。尽管这个数字听起来让人不知所措，但是有一些办法可以减缓网络攻击，防止公司成本损失。

在本系列博客的第1部分和第2部分中，我们讨论了SOC是什么以及SOC分析师的日常。在本篇博客中，我们将讨论安全运营中心（SOC）的用武之地，如何通过合适的SOC策略去识别和改进IT基础设施中的薄弱环节。

防患于未然

攻击者通常不轻易尝试获取加密的公司数据，因为涉及到的某些算法可能需要花费数年的时间才能进行解码，然后获取到真正有用的数据，这显然不合适。相对来说，身份验证和会话管理组件对攻击者来说更容易被破解。

因此，在制定合适的SOC网络安全策略之前，确定公司网络系统中的薄弱环节至关重要。

以下是可以帮助SOC人员识别公司网络系统中薄弱环节的几个技巧：

1.强化用户凭证管理

由于身份验证漏洞允许一些未经授权的应用程序访问、系统访问或数据访问，因此制定一个强大的用户身份验证策略必不可少，例如公司可以启用多因素身份验证、强密码策略、更改默认凭据、禁用长期未使用的帐户以及启用安全密码词典等方法，可以帮助公司防止攻击者通过获取用户凭证而入侵公司网络。

2.识别软件漏洞

软件漏洞即软件中与安全性相关的某些缺陷，这些缺陷可能会导致黑客入侵公司网络并造成破坏。例如，Web应用程序的易受攻击的入口点可能包括不安全的套接字、注册表、环境变量、命令行参数、协议和HTTP标头等。2019年，MITRE公布了CWE Top 25-最危险的软件缺陷榜单，这些都是黑客经常利用的软件漏洞榜单。

因此定期对软件漏洞进行安全测试至关重要，软件供应商也应及时提供补丁程序以更新和纠正软件漏洞问题。

3.定期评估员工的网络安全意识

无论IT网络人员采取何种高级安全措施，公司内部员工都有可能随时无意或有意破坏到公司的网络安全，进而黑客可以趁此使用复杂的高级社会工程技术来勒索有价值的公司数据。

因此SOC人员除了需要优化内部网络安全策略外，万万不可忽略了对员工的网络安全培训，可以定期对员工的工作场所进行安全审查、组织网络钓鱼攻击模拟测试以及定期组织网络安全研讨会等，培养员工的网络安全意识对于防止公司数据泄露也很重要。

4.评估特权帐户

特权账户是公司账户的核心，他们通常有权访问公司网络中最有价值的商业信息，例如AD管理员、IT工程师以及SOC安全分析师可以不受限制地访问公司的所有服务器、应用程序、设备和数据库以执行其相关工作内容。但是，这也意味着他们的账户更容易成为黑客的攻击目标。

因此跟踪和监控特权账户的用户活动非常重要，及时评估特权用户，及早发现异常行为并验证特权用户行为是否合法可以帮助公司避免数据泄露。

5.发现隐藏的后门程序

后门程序是一种绕过安全性控制而获取对程序或系统访问权的恶意脚本，它看起来像普通代码段，通常编写在合法程序中，一般很难被发现。

在网络系统中搜索已知的恶意软件签名可以帮助识别隐藏的后门程序。如设置密码定期更改策略、监视用户网络活动以及使用一款有效的安全信息和事件管理（SIEM）解决方案有助于SOC人员识别公司网络系统中的后门程序。