安全性作業 (SecOps)

SecOps 定義

安全性作業 (SecOps) 是用來描述組織內安全性團隊與作業團隊之間合作的術語。IT 運作多年來不斷地擴展，分支到個別的專業領域，往往會造成各自為政的情況。SecOps 致力於促進 IT 安全與 IT 運作之間更多的合作，以幫助優先處理網路與資料安全性，並在不犧牲 IT 效能的情況下降低風險。與類似 DevSecOps的概念相比，它也提供了更狹隘的焦點，因為 DevOps 團隊並非建立與實作組織安全性措施的需求。然而，SecOps 的一個關鍵原則是確保安全是每個專案的基本部分，甚至包含在專案開發的最早期階段。

SecOps vs SOC

SecOps 團隊是由技術高超的 IT 與安全性專業人員所組成的團隊，負責監控威脅並評估整個組織的風險。SecOps 團隊是 安全性作業中心 (SOC) 的命脈。SOC 是安全團隊運作的集中樞紐 (實體、虛擬或兩者皆有)。SOC 有助於促進安全人員之間的合作，並有助於簡化安全作業。

角色的數量和 SOC 團隊的規模會依組織的規模和需求而有所不同，但規模可從 5-14 名成員不等。這些角色包括 SOC 分析師、安全工程師、安全經理、IT 作業經理和系統管理員，他們都向首席資訊安全官 (CISO) 報告。

SecOps 工具

有許多 SecOps 工具是為了協助安全性團隊成功執行 SOC 而建立的。隨著技術的演進，這些工具的數量也越來越多，而且可能會出現需要管理的孤島式工具的複雜組合。幸運的是，整個產業已經開始合併功能，以提供更少的工具、更多的功能。

可協助 SecOps 團隊建立主動式防禦的工具包括

• 端點防護
• 安全性資訊與事件管理 (SIEM)
• 網路偵測與回應
• 端點偵測與回應
• 使用者與實體行為分析 (UEBA)
• 延伸偵測與回應 (XDR)
• 安全協調、自動化與回應 (SOAR)

SecOps 的挑戰

不斷地技術創新，持續推動企業營運與發展向前邁進，卻往往犧牲了適當的安全性。安全性也不斷地進步，但企業主動解決需求的速度較慢，當發現新的安全漏洞、出現新的威脅時，更多的是被動應對。當敵人不斷地投資於機器學習、自動化和 AI 等新工具時，以安全性資訊與事件管理 (SIEM) 為基礎的傳統 SOC 卻無法跟上數位轉型和先進攻擊者技術的腳步。此外，安全專業人員的短缺，以及 SecOps 工具自動化流程 (並避免分析師疲倦) 的實作緩慢，仍是一個很大的挑戰。

來自傳統 SOC 環境的 SecOps 挑戰包括

• 缺乏能見度和背景
• 調查的複雜性增加
• 警示疲勞和安全控制產生的大量低保真警示所造成的「噪音
• 系統缺乏互通性
• 缺乏自動化與協調
• 無法蒐集、處理威脅情報資料並將資料背景化

SecOps 的優點

SecOps 的目標是改善組織的安全勢態、識別安全問題和偵測弱點，並促進個別部門採用統一的安全方法。此方法有助於跨團隊協作，以更有效率地完成任務，並消除重複工作。實作 SecOps 模式有助於提早識別威脅、降低外洩風險、增加事件回應時間，進而有助於維持業務的持續性與聲譽。

來看看 Palo Alto Networks 自己的安全性作業團隊如何將其 SOC 自動化。

在 SOC 中使用自動化和 AI

SecOps 團隊不斷地與手動工作糾纏不清，包括每天必須執行的大量安全性警示和威脅調查。透過運用自動化與分析功能，SecOps 團隊可以更有效地辨識、調查與補救安全性威脅與事件。根據 Forrester 的資料，需要完全自動化 SOC 作業是組織的長期目標，超過 70% 的組織已經開始自動化之旅。

透過利用人工智慧 (AI) 和機器學習 (ML)，可快速識別安全性事件，而不會產生需要分析師花時間、注意力和手動修復的低價值警示。AI 和 ML 可以識別組織中的重要安全性事件、

透過拼接來自多個來源的資料，同時減少 SOC 所需的時間和經驗，達到高保真的效果。

最佳實務：建立穩固的 SOC 基礎

SecOps 團隊必須獲得高階主管的支持，才能感到有能力達成目標。CISO 通常是 SecOps 團隊與執行團隊之間的橋梁，使網路安全與業務目標保持一致。

安全領導者現在就可以採取措施，統一整個組織的安全，並簡化安全作業。他們需要

1. 透過自動化事件回應，縮短平均修復時間 (MTTR)：在調查和回應過程中，將耗時的手動工作自動化，可避免漏發警示，並縮短調查時間。
2. 提高重複性手動工作的自動化程度：減少對戰術性繁瑣工作的需求，可讓分析師有更多時間專注於策略性計畫。
3. 整合安全工具：將安全工具整合至集中式平台有助於統一記錄、警報相關性和協調回應。

使用 Cortex 簡化 SecOps 流程

透過端對端的原生整合和互操作性，SOC 團隊可以在整個 Cortex 生態系統中不斷地發揮協同效應，從而徹底解決威脅問題。Cortex 套裝產品協同合作，監控威脅狀況，並提供最強大的偵測、回應和調查能力：

• Cortex XDR 和 Cortex Xpanse 提供跨互聯網攻擊面、端點、雲端和網路的終極可視性和偵測。
• Cortex XDR 和 Cortex Xpanse 利用 Cortex XSOAR 實現全面的協調、自動化和回應能力。
• Cortex XSOAR 利用 Cortex XDR 和 Cortex Xpanse 提供高保真偵測和警示，以驅動協調工作流程。

請造訪我們的產品頁面以瞭解更多資訊，或下載我們的白皮書 "Redefining SecOps in the Era of AI"。

Cortex Xpanse

Cortex XSOAR

Cortex XDR

Cortex XSIAM