SecOps(保安運作)是網絡保安的策略性方法,促進資訊科技及保安團隊之間的整合及協調,以更有效保護資訊科技系統及數碼資產免受網絡威脅、黑客及網絡攻擊。
目錄
為何 SecOps 如此重要?
今日的企業每天都面臨越來越複雜的威脅。即使是一次成功的網絡攻擊或資料外洩,也會對生產力、品牌及利潤造成重大及持久的損害。
SecOps 採用協調、整合及主動的方法來協助機構防範網絡威脅,確保網絡保安是首要任務,而非事後考慮。
雖然傳統的網絡保安側重於保護網絡、伺服器、數據庫、應用程式及其他資訊科技資產免受威脅,並在攻擊發生時減低因攻擊而造成的損害,但 SecOps 卻更進一步。其目標之一是將網絡保安優先思維融入機構管理、資訊科技及營運流程的每個層面。
這方法比傳統資訊科技保安方式帶來許多令人信服的好處,包括:
- 資訊科技與保安團隊之間更緊密的跨系統協作
- 即時掌握潛在的網絡威脅及網絡保安漏洞
- 改善資訊科技表現及風險管理能力
- 簡化事故回應時間,縮短保安漏洞的持續時間及嚴重性
- 加強遵守行業及政府數據私隱法規,包括歐盟通用資料保護法規、支付卡行業數據安全標準(PCI DSS)及健康保險可攜性及責任法案(HIPAA)
- 更強大、更具彈性的保安狀況
SecOps 採取主動而非被動的方式,能更早發現潛在威脅,更快回應威脅,並協助將攻擊、入侵及其他可能代價高昂的業務中斷風險減至最低。
此外,SecOps 透過促進協作、整合及加強共同責任,不僅在資訊科技及網絡保安人員之間,更在整個機構內建立更注重保安的文化。
有效的 SecOps 核心功能及組成部分是甚麼?
大多數 SecOps 策略結合了多項核心功能或特性,協助減低網絡攻擊的整體風險,並保護資訊科技系統及數據。包括:
- 事故偵測與回應——以識別潛在違規或違反政策的行為,並遏制、減輕或復原網絡攻擊。
- 威脅情報及人工智能分析:主動預測、準備及防範新的入侵指標、不斷演變的攻擊媒介,以及新的及新興的網絡威脅。
- 持續監控及報告網絡流量、用戶行為、存取日誌、配置設定及應用程式效能指標,以識別任何不常見或異常情況、支援監管合規、減少誤判數目,以及作出更準確、有效及明智的決策。
為了實現這些目標,SecOps 團隊利用各種工具、策略及技術來加強資訊科技與保安團隊之間的合作,並強化機構的整體保安狀況。包括以下工具:
- 人工智能入侵偵測及防禦系統(IDPS)
- 代理式保安資訊及事件管理(SIEM)
- 代理式保安協調、自動化及回應(SOAR)
- 網絡偵測與回應(NDR)
- 用戶端偵測與回應(EDR)
- 擴展式偵測與回應(XDR)
- 次世代防火牆 (NGFW)
- 漏洞掃瞄
- 威脅情報指標及報告
SecOps 最佳實務守則
除了適當的工具和核心功能外,機構一般還需利用一些公認的最佳實務來建立健全而積極的 SecOps 框架。這包括實施或納入以下做法:
- 促進保安、資訊科技及其他單位之間的跨團隊協作
- 就保安運作的原則、慣例及重要性提供持續培訓機會及意識計劃
- 自動化威脅偵測、漏洞掃瞄及事故回應等任務,以減低保安團隊的工作負載,更快回應入侵或攻擊
- 優先使用威脅情報以調整保安措施來對應最新或新出現的攻擊形式
- 定期進行持續風險評估、保安演習及策略檢討,以不斷改善保安及網絡保安系統
SecOps 面臨的主要挑戰是甚麼?
隨著業務需求不斷變化、新技術不斷出現及網絡威脅不斷演變,機構在制定、實施及維持有效的 SecOps 策略方面正面臨多項挑戰。
例如,隨著網絡威脅越來越頻繁及複雜,SecOps 團隊必須不斷調整其方法及技術,以處理新的網絡攻擊、降低風險及防範最新的進階持續性威脅。
隨著保安團隊的負擔及對合資格網絡保安人員的需求增加,許多機構亦須應對各種挑戰,例如需要平衡資源與預算限制、SecOps 員工流失率及營業額上升,以及經驗豐富的網絡保安專業人士的全球短缺。
維持有效 SecOps 的其他常見障礙包括:
- 現代資訊科技系統的複雜性及整合多種不同工具、系統及技術的難度
- 隨著雲端運算及物聯網裝置等新科技越來越普及,受攻擊面亦日漸擴展
- 大量誤判導致警報超載、資源效率低下、員工不知所措,以及更大機會錯失或忽略實際威脅
SecOps 的未來是什麼?
未來數年,大多數行業的保安運作可能會繼續受若干主要趨勢及不斷發展或新興科技影響。
保安團隊為了跟上每天面對的龐大網絡威脅數量,SecOps 可能會越來越受機器學習、神經網絡及自然語言處理等先進人工智能技術所推動,以自動化手動任務、提升威脅偵測與回應措施的效率,並提升網絡防禦的準確性及成功率。
SecOps 團隊亦必須不斷進化來了解及處理新的網絡保安威脅,包括更嚴格的合規要求及 5G 網絡漏洞,以至網絡罪犯使用深偽、社交工程及量子運算加密工具。
此外,隨著許多機構轉向遙距或混合工作環境,SecOps 團隊在保護遙距用戶端裝置及通訊、提供安全數據及檔案分享及加強協作時,將要變得更靈活、敏捷及可擴展,而又不會損害保安。
我可以在哪裡獲得 SecOps 的協助?
Trend Vision One™ Security Operations (SecOps) 是一個中央化人工智能保安方案,讓保安團隊能更準確地預測威脅、更快回應攻擊,並保護整個資訊科技基建免受資料外洩、未經授權存取及網絡攻擊。
SecOps 結合了整合的 XDR 平台與代理式 SOAR 功能及代理式 SIEM 系統,以語言而非記錄來思考。這可為您的機構提供更深入的保安數據分析及管控,保護數碼資產免受惡意攻擊,自動化威脅偵測與回應程序,並建立一個真正新一代的保安運作中心。
Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。
Fernando 在網絡資訊保安產業擁有超過 13 年經驗,曾帶領過多項雲端防護、DevSecOps 及人工智能防護計劃,並與全球客戶及策略合作夥伴密切合作,如 AWS、NVIDIA 和 Microsoft。此外,他還是全球知名意見領袖,經常擔任演講嘉賓,包括 AWS re:Invent 到 NVIDIA GTC 以及 Black Hat 的人工智能高峰會。
Fernando 帶領全球產品經理團隊,推動上市策略、進行市場研究,並提供創新技術來持續塑造安全、智慧雲端環境的未來。
常見問題
SecOps 是甚麼意思?
SecOps(是指機構網絡保安及資訊科技團隊共同努力防禦資訊科技系統免受網絡攻擊的所有方式。
保安運作中心與 SecOps 有甚麼分別?
SecOps 是一種結合保安及資訊科技運作的網絡保安方法。保安運作中心是 SecOps 團隊營運的統一團隊或設施。
SecOps 與 DevSecOps 有何不同?
SecOps 專注於將網絡保安整合至日常資訊科技運作。DevSecOps 擴展目標,以涵蓋整個軟件開發週期。
保安運作中心代表甚麼?
SOC 代表保安營運中心。保安運作中心是一個統一團隊,負責處理機構的所有保安及網絡保安系統。
保安運作中心有何功能?
保安運作中心協調及執行網絡保安運作。這包括監控、偵測與回應網絡威脅。
保安運作有何作用?
SecOps 負責管理及執行所有涉及保護機構免受網絡攻擊的常規及程序。
事故回應是否保安運作的一部分?
是,偵測與回應網絡保安事故,例如資料外洩或網絡攻擊是 SecOps 的核心部分。
SecOps 有甚麼作用?
SecOps 透過主動偵測、識別、防範及回應網絡攻擊、黑客攻擊及其他網絡威脅來保護資訊科技系統及數碼資產。
SecOps 有甚麼好處?
SecOps 的好處包括加強資訊科技與保安團隊的合作、強化威脅偵測與回應,以及更強大的保安狀態。
SecOps 事故回應工作流程的主要階段是什麼?
SecOps 事件回應的關鍵階段是事件評估、損害控制、威脅消除,以及學習和復原。