在日益复杂的现代网络安全领域，SOC（security operations center，安全运营中心）和数据安全团队时常处于各自的信息孤岛之中，使用不同的门户进行工作，双方之间的合作有限。尽管这种分隔意在简化运营，但可能会导致严重的盲点，使得组织陷入对威胁和数据事件的被动应对局面。数据安全团队专注于保护敏感数据，而安全团队则优先考虑威胁的检测和响应。它们之间的协同作用需求经常被组织所忽视。因此，在增强威胁检测与响应能力的过程中，关键的决策和其所需的背景信息之间存在着脱节。

这种碎片化的工具环境造成了一种虚假的安全感，因为使用16及以上个工具的组织与使用较少且更集成解决方案的组织相比，所经历的数据安全事件数量要高出2.8倍。于是，在数据和安全运营之间手动进行关联变得必不可少，这也导致了在识别和解决潜在安全漏洞方面的低效率和高延迟。

只有弥合数据安全和安全运营中心之间的鸿沟，组织才能更加有效地抵御不断演变的网络威胁。同时这也有助于确保组织在现代安全方面采取一种全面的解决方案，将有关敏感数据及其使用方式的见解融入到SOC经验中去。

01、数据是攻击者的主要目标

由于蕴含着巨大的价值，数据已然成为攻击者的首要目标，数据安全在保护敏感信息免受网络威胁方面起着关键作用。无论是个人可识别信息（PII）、财务记录还是知识产权，未经授权的数据访问都可能会带来灾难性的后果。据统计，受严重安全事件影响的组织每年应对安全事件的成本高达1500万美元。

数据泄露会给受影响的组织带来财务损失、声誉受损、法律后果以及客户信任丧失等后果。因此，对于组织来说，重要的是实施健全的数据安全治理、风险管理以及合规标准，以降低数据泄露带来的风险，从而保护其最有价值的资产。

02、了解攻击者的策略

随着，攻击频率和复杂性的不断攀升，SOC也在持续应对着不断演变的网络威胁。在大多数事件中，攻击者通常都以数据为目标。在过去的一年里，大约63%的公司数据泄露是由有意或恶意的内部人员造成的。攻击者使用的主要策略包括对存储敏感数据的设备进行加密，以获取赎金；窃取认证密钥以访问数据库；冒充员工；以及通过电子邮件外泄财务数据等。攻击者入侵成功后，他们便聚焦于像地址、出生日期和社会安全号码等敏感数据，意图通过在暗网上出售这些数据来获利。遭受攻击的组织所面临的危机往往是客户信任的丧失，恢复成本的增加，而受影响的个人则面临着身份盗窃的风险。

这就是为什么说SOC团队需要使用数据安全工具，来获取内部风险感知、数据敏感性分析以及数据安全预警等背景信息。这种额外的背景信息可以帮助安全团队及早发现潜在的数据威胁，在其演变成重大事件之前，更好地按照优先级来处理事件，调整警报级别，并有效地分配资源。因此，数据安全必须贯穿于SOC流程的各个方面。

在一些安全事件中，攻击者成功获取了用户的登录凭证，并将数据从受内部系统中外传，但该情况却往往会被误判为正常操作。例如将一个不涉及敏感信息的压缩文件复制到个人云存储账户中，这种行为只能引发较低严重等级的警报。但如果SOC结合着内部风险洞察信息来对安全事件进行分析时，就可以在预警发出之前察觉到那些可疑行为，并对其严重性程度有一个准确的评判。这些可疑行为包括将文件的敏感性标签降级以掩盖其实际内容，以及将文件压缩成zip格式，然后上传到个人云存储中等，并且这些都超出了SOC在受监管设备上的监视范围。

03、构建以数据为中心的SOC实践

将数据中心化贯穿于整个安全工作有助于SOC更加有效、快速地识别并应对数据泄露事件，从而降低组织所面临的安全风险。以下是每个步骤中需要考虑的因素：

调查: 确保将数据丢失预防（DLP）和其他以数据为中心、与内部风险相关的警报纳入到组织的威胁事件中。

搜寻: 建立积极主动的搜寻实践，利用审计日志来跨文件、位置以及用户来进行搜寻，以便更好地发现潜在威胁。

定制化: 根据文件的数据敏感程度，来制定安全事件列表，并对事件进行优先级排序。

随着安全实践的不断增强，安全团队需要一个强大的SOC，来提供超越终端和身份的数据源可见性，以及一个可以通过DLP工具、内部风险信息、电子邮件安全等方式来提升安全事件上下文洞察力的全面策略。通过将数据安全无缝整合到SOC框架中，组织可以建立一个促进各部门协同的平台，使其能够在数据泄露事件中迅速做出处理并适应。

点评

与依赖安全日志和网络流量来检测安全事件的传统SOC不同，以数据安全为中心的SOC主要关注的是数据本身的流动以及利用情况，需要通过监控数据访问、检测异常行为和分析数据活动来识别潜在的数据安全风险。

如今，涉及数据泄露的场景繁多且复杂，单纯依靠传统的被动式防御措施已无法抵御精密谋划的攻击手段，任何基于单点防御的体系都存在被绕过或欺骗的风险。因此，组织需要采取更加综合和多层次的安全策略，来应对复杂的数据泄露威胁，以提高整体的安全性。