什麼是安全性作業 (SecOps)？

您可將 SecOps 視為傳統 SOC 模型的進化型態。在該模型中，網路安全性和 IT 營運團隊存在個別 (有時甚至是相互衝突) 的目標。IT 著重於讓支撐企業營運的技術保持在最佳執行狀態，而安全性團隊則優先注重防範網路攻擊並遵從法規。因為安全性活動和工具可能會減慢業務關鍵作業的速度，所以這兩項職能有時可能會互相矛盾。

不過，在現今的安全性環境中，企業不能將安全性視為營運的附帶活動。隨著網路威脅持續增加且方式愈加複雜，網路攻擊可能會造成非常嚴重的結果。企業若是希望避免負面後果，就必須將安全性作為一切工作的首要考慮。

SecOps 組織結構採用一組常見的目標，可確保安全性和 IT 團隊更為協調，這些目標包括：

在安全性與 IT 團隊的緊密合作之下，安全性態勢是兩方團隊的優先目標。雙方可以分享寶貴的資訊，並使用一組常見的工具來防止作業中斷。

在傳統模型中，安全性屬於一種事後補充。當每個流程都在早期就將安全性納入考量時 (這是一種稱為左移安全性的趨勢)，會提高組織在問題發生之前降低風險的能力。

能夠為 SecOps 團隊提供具有整合式工具的 SOC 和更多溝通機會，進而提升效率、降低額外負荷、減少停機時間，並增強安全性。

一般的 SecOps 團隊活動會涵蓋數項關鍵職能，例如：

SecOps 會負責監視組織的數位環境是否出現惡意活動的跡象。SecOps 團隊會主動搜尋網路、端點和應用程式之間的異常事件，並準備可緩解潛在或明顯網路威脅的方法。

收集及分析潛在網路威脅的資訊，是 SecOps 的重要功能。安全性資訊與事件管理 (SIEM) 解決方案可讓安全性團隊直接獲得、擷取威脅情報，並大規模採取行動。威脅情報可加強來自基礎結構、使用者、裝置、應用程式等的資料。

在 SIEM 中，機器學習警示會與事件相互關聯，協助分析員偵測、驗證、排定優先順序，以及調查安全性相關事件。將多個警示與事件相互關聯，可讓 SecOps 團隊減少警示雜訊，並專注於嚴重的風險。

SecOps 團隊負責確認實際的網路攻擊，並實作事件回應方案，其中包括收集證據和內容相關資訊、在 SOC 內共同作業以根除網路威脅並遏制任何資料外泄情形，然後將環境回復到安全狀態。在受到網路攻擊之後，團隊會進行鑑識和根本原因分析，並使用這些分析結果來協助防止未來的類似網路攻擊。

SecOps 團隊的其中一項重要活動，是找出組織安全性保護中的潛在漏洞。SecOps 團隊會合作尋找並解決這些弱點，讓惡意執行者無法加以利用。弱點管理包括掃描系統、應用程式和基礎結構中的弱點，並進行補救。

網路安全性意識對每位網路使用者都十分重要，而 SecOps 團隊通常負責教育使用者有關網路罪犯可能使用的常見策略。出色的 SecOps 團隊可以在組織中建立明智的安全至上文化，藉以加強整體安全性態勢。

採用 SecOps 模型後，組織將獲得既靈活，又能共用資訊的功能，可滿足不斷演進的網路安全性環境挑戰。破壞性網路攻擊 (例如勒索軟體與惡意程式碼) 的頻率和複雜性正不斷增加，這表示 SecOps 團隊必須準備好在出現安全性缺口時快速採取行動。針對安全性實作 SecOps 方法，將能在不損害營運速度或法規合規性的情況下，大幅改善事件回應時間。

SecOps 模型中的增強通訊功能可協助團隊更主動地抵禦網路威脅。在 SOC 中跨團隊協作，可讓網路威脅搜捕和內部威脅偵測等預防活動變得更有效率。

因為 SOC 對安全性採取統一的方法，所以也更具成本效益，尤其是在團隊獲得進階威脅偵測和回應工具 (例如延伸偵測及回應 (XDR) 解決方案) 的協助下。

各產業的 SecOps 團隊在努力保護組織和使用者不受網路犯罪侵擾的同時，會面臨一組常見的每日挑戰。這些挑戰通常包括：

網路攻擊的頻率年年增加，許多網路犯罪者掌握著豐富的資源，同時還充滿動力。這導致了大量的網路威脅資料和相應警示，使 SecOps 團隊無法一一篩查。

在出現新的網路威脅類型時，許多組織會採用可解決日常需求的全新單點解決方案來加以回應。長期而言，這可能會導致 SecOps 團隊必須整日切換不同工具，並在工具間手動相互關聯網路威脅資料。

不斷增加的數位資產 (包括內部部署、跨多個雲端、電子郵件、應用程式及在地理上分散之端點上的資料)，讓 SecOps 團隊難以取得所需保護之項目的單一檢視。

缺乏訓練有素的網路安全性專業人員，導致許多 SecOps 團隊成員的負擔過重且過度疲勞，而且這項問題目前並未出現任何緩和的跡象。在目前的環境中，許多安全性職位可能會出現數個月的人員空缺。

在網路威脅 (例如勒索軟體) 變得更加隱密且更具破壞性，且經常透過組織數位環境進行橫向移動的同時，偵測作業變得更為重要，並且也愈加困難。

網路安全性技術不斷演進，同時市面上也經常出現可用於簡化 SecOps 團隊工作的新工具或改良工具。許多團隊都會利用自動化和 AI 方面的新技術，從而簡化安全性工作，讓網路威脅更容易偵測。下列是這些團隊在保護組織安全時仰賴的部分工具：

SIEM (發音為 "sim") 技術會從各種來源收集事件記錄檔資料、透過即時分析識別與規範有所不同的活動，並採取適當動作。該技術可讓組織查看其網路內的活動，加快網路威脅的偵測和回應速度。

EDR 是一種的技術，可監視連結至組織網路的實體裝置以發現網路威脅，並且會在惡意執行者使用端點嘗試入侵時採取自動動作。端點可以包括電腦、行動裝置、伺服器、虛擬機器、內嵌裝置和物聯網裝置。

XDR 是 EDR 的演化，可將網路威脅偵測和回應功能延伸至更廣泛的產品內，其中不僅包括端點，還包括伺服器、應用程式、雲端工作負載和網路。XDR 可提供組織數位資產的端對端可見度，除了偵測和回應功能之外，還提供預防措施、分析、關聯事件警示和自動化。

SOAR 可讓 SecOps 團隊迅速解決事件，而無須埋首處理大量耗時的工作。SOAR 是一組服務和工具，可自動化網路威脅防護和回應，例如統一性整合、定義工作的執行方式，以及建立事件方案。

還有其他許多網路安全性工具可協助 SecOps 團隊更有效率地運作。最可靠的解決方案是整合至統一平台，並使用最新技術 (例如自動化和生成式 AI) 的解決方案。

如果 SecOps 小組成員擁有專為處理最複雜網路威脅而打造的技術，這些成員就可以在現今快速變化的網路安全性環境中茁壯成長。採用 AI 技術且包含預防、偵測和回應功能的統一 SecOps平台，可簡化工作並消除認知差距。Microsoft Sentinel 可同時提供 SIEM 和 SOAR 工具，並與 XDR 完美整合。