什么是安全运营 (SecOps)？

SecOps 可以视为由传统 SOC 模型演变而来。在该模型中，网络安全和 IT 运营团队有各自的目标，这些模板有时存在冲突。IT 团队侧重于保持业务运营背后的技术以最佳方式运行，而安全团队则优先防范网络攻击并遵守合规性法规。这两个职能有时可能存在分歧，因为安全活动和工具可能会降低业务关键运营的速度。

但在当今的安全环境中，企业不能再奢望将安全视为一种附属于运营的活动。随着网络威胁不断增加和变得越来越复杂，网络攻击的后果可能很严重。为使企业避免负面后果，他们必须在所有工作中将安全设为优先事项。

SecOps 组织结构通过采取一组共同目标来确保提高安全团队和 IT 团队的一致性，包括：

随着安全团队和 IT 团队紧密协作，安全状况成为这两个团队的优先事项。他们可以共享有价值的信息，并使用一组共用工具来防止运营中断。

在传统模型中，在事后才考虑安全性。如果在每个流程中提前考虑安全性（称为“左移安全性”的趋势），则会提高组织在风险变成问题之前缓解风险的能力。

为 SecOps 团队提供具有统一工具和更多沟通机会的 SOC，可提高效率、减少开销、减少停机时间以及增强安全性。

典型 SecOps 团队的活动涵盖多个关键功能，例如：

SecOps 负责监视组织的数字环境是否存在恶意活动的迹象。SecOps 团队主动跨网络、终结点和应用程序搜寻异常事件，并准备缓解潜在或明显的网络威胁。

收集和分析潜在网络威胁信息是一项重要的 SecOps 功能。安全信息和事件管理 (SIEM) 解决方案允许安全团队直接访问和引入威胁情报并根据它执行大规模操作。威胁情报丰富了从基础结构、用户、设备、应用程序等提取的数据。

在 SIEM 中，机器学习警报与事件相关联，帮助分析人员检测、验证和调查与安全相关的事件并确定其优先顺序。通过将多个警报与事件相关联，SecOps 团队可以减少警报干扰并专注于最高风险。

安全运营团队负责对实际的网络攻击进行确认并实现事件响应计划，该计划包括收集证据和上下文信息、在 SOC 中协作以消除网络威胁并包含任何数据泄漏，然后将环境恢复到安全状态。发生网络攻击后，团队将进行取证和根本原因分析，并使用这些知识来帮助防止将来发生类似的网络攻击。

SecOps 团队的一个重要活动是查找组织安全保护中的潜在漏洞。SecOps 团队会在恶意行为者利用这些漏洞前协同查找和解决这些漏洞。漏洞管理包括扫描系统、应用程序和基础结构是否存在漏洞并进行补救。

网络安全意识对于网络上的每个用户都很重要，SecOps 团队通常负责向用户介绍网络犯罪分子可能使用的常见策略。一个有效的 SecOps 团队可以通过在组织内创建一种知情、安全第一的文化来加强整体安全态势。

采用 SecOps 模型可为组织提供所需的敏捷性和信息共享功能，以应对不断发展的网络安全环境的挑战。恶意网络攻击（如勒索软件和恶意软件）的频率和复杂性不断增大意味着 SecOps 团队需要准备好在发生泄露时快速行动。实施 SecOps 安全方法可以显著缩短事件响应时间，而不会牺牲运营速度或法规合规性。

SecOps 模型中增强的沟通可帮助团队更主动地应对网络威胁。通过 SOC 中各团队的协作，网络威胁搜寻和内部威胁检测等预防性活动变得更加高效。

采用统一的安全方法还可以使 SOC 更具成本效益，尤其是在团队获得高级威胁检测和响应工具（如扩展检测和响应 (XDR) 解决方案）的帮助时。

各行各业的 SecOps 团队在努力保护组织和用户免受网络犯罪威胁时，共同面临一系列常见的日常挑战。这些挑战通常包括：

网络攻击的频率逐年递增，许多网络犯罪分子拥有充足的资源和动机。这将产生一连串的网络威胁数据及后续警报，供 SecOps 团队筛选。

当新型网络威胁出现时，许多组织都会通过采用新的点解决方案来应对当时的需求。从长远来看，这可能会导致 SecOps 团队不得不整天在各种工具之间来回切换，并在它们之间手动关联网络威胁数据。

庞大的数字资产（包括本地和跨多个云的数据、电子邮件、应用程序和异地分散的终结点）可能会使 SecOps 团队难以通过一个视图了解所需保护的内容。

由于训练有素的网络安全专业人员不足，因此许多 SecOps 团队成员感到负担过重和疲劳，而不足则表示没有缓解的信号。在当前环境下，许多安全职位可能几个月都无人填补。

随着勒索软件等网络威胁变得更加隐蔽、更具破坏性，往往会进行透视以在组织的数字环境中横向移动，检测变得非常重要，也越来越困难。

网络安全技术在不断发展，能够简化 SecOps 团队工作的新工具或改进工具也经常出现。其中人利用自动化和 AI 技术的进步来简化安全工作，使网络威胁更易于检测。以下是他们为保证组织安全而依赖的一些工具：

SIEM（发音为“sim”）技术从广泛来源收集事件日志数据，通过实时分析识别偏离规范的活动，并采取适当措施。利用该技术，组织能够了解其网络内的活动，以加快网络威胁检测和响应速度。

EDR 技术可监视附加到组织网络的物理设备以获取网络威胁证据，并在恶意行为者在入侵尝试中使用终结点时执行自动操作。终结点可以包括计算机、移动设备、服务器、虚拟机、嵌入式设备和物联网设备。

XDR 由 EDR 演变而来，可将网络威胁检测和响应功能扩展到更广泛的产品，不仅包括终结点，还包括服务器、应用程序、云工作负载和网络。XDR 提供组织的数字资产的端到端可见性，除了其检测和响应功能外，它还提供预防措施、分析、关联的事件警报和自动化。

SOAR 让原本无暇应付耗时任务的 SecOps 团队有能力快速解决事件。SOAR 是一套服务和工具，可自动执行网络威胁防护和响应的各个方面，例如统一集成、定义任务的运行方式以及创建事件计划。

还有许多其他网络安全工具可帮助 SecOps 团队更高效地运营。最可靠的解决方案是集成到统一平台并使用自动化和生成式 AI 等最新技术进步的解决方案。

如果 SecOps 团队成员拥有应对最复杂的网络威胁的技术，则他们可以在当今瞬息万变的网络安全环境中蓬勃发展。统一的 SecOps 平台由 AI 提供支持并且涵盖了预防、检测和响应，可简化工作和消除漏洞。Microsoft Sentinel 提供 SIEM 和 SOAR 工具，同时与 XDR 无缝集成。