Google在此前發(fā)布的《自動化安全運營中心SOC建設(shè)指南》中提到,數(shù)字化轉(zhuǎn)型已經(jīng)成為全球既定的發(fā)展方向,企業(yè)上云也因此成為必選項。但與之同時,數(shù)字化轉(zhuǎn)型既給企業(yè)帶來了更加創(chuàng)新和高效的模式,也將企業(yè)信息安全的管理難度推向了新的高度。
當越來越多的資產(chǎn)走向云端并成為攻擊者的目標,組織暴露在外部的攻擊面也越來越大,傳統(tǒng)安全運營模式已經(jīng)無法跟上節(jié)奏。安全運營團隊需要一個全新的運營模式,以便在數(shù)字原生世界保護企業(yè)業(yè)務(wù)的發(fā)展,也是數(shù)字化時代預(yù)防、檢測與應(yīng)對安全威脅必不可少的舉措。
安全運營離不開自動化安全運營中心(SOC),面對更加復(fù)雜更加嚴峻的網(wǎng)絡(luò)攻擊威脅,SOC安全運營中心需要更快、更徹底的解決中包括:警報風(fēng)暴、魚叉式網(wǎng)絡(luò)釣魚、事件響應(yīng)、威脅搜尋和威脅情報管理等在內(nèi)的安全運營難題,而這一切只能通過正確的架構(gòu)方法來實現(xiàn)。
為了更高效和更有效,未來的SOC應(yīng)該做出哪些變革?或許數(shù)據(jù)、開放式集成框架和平衡自動化是未來 SOC 的答案。
數(shù)據(jù)驅(qū)動是SOC安全運營中心的命脈
數(shù)據(jù)是安全的命脈,因為它提供了來自廣泛的內(nèi)部和外部來源的上下文,包括系統(tǒng)、威脅、漏洞、身份等等。當安全性由數(shù)據(jù)驅(qū)動時,團隊可以專注于相關(guān)的高優(yōu)先級問題,做出最佳決策并采取正確的行動。數(shù)據(jù)驅(qū)動的安全性還提供了一個持續(xù)的反饋循環(huán),使團隊能夠捕獲和使用數(shù)據(jù)來改進未來的分析。
那么,組織應(yīng)該如何幫助SOC專注于數(shù)據(jù)呢?
首先應(yīng)該從組織環(huán)境內(nèi)部聚合事件和相關(guān)指標,例如組織內(nèi)部的 SIEM 系統(tǒng)、日志管理存儲庫、端點檢測和響應(yīng) (EDR)、案例管理系統(tǒng)和其他安全基礎(chǔ)設(shè)施。通過關(guān)聯(lián)這些數(shù)據(jù)以連接各個點并了解事件如何相互關(guān)聯(lián),并使用來自訂閱的多個來源(商業(yè)、開源、政府、行業(yè)、現(xiàn)有安全供應(yīng)商)的威脅情報數(shù)據(jù)自動擴充和豐富這些數(shù)據(jù),以及像 MITRE ATT&CK 這樣的框架。對來自不同來源、格式和語言的所有這些數(shù)據(jù)進行規(guī)范化,以便對數(shù)據(jù)進行更深維度的分析。
其次,組織可以將環(huán)境內(nèi)部的事件和相關(guān)指標與指標、對手及其方法的外部數(shù)據(jù)相關(guān)聯(lián), 通過了解與組織的相關(guān)性,確定應(yīng)當首先關(guān)注的正確數(shù)據(jù),以及哪些可以作為外圍數(shù)據(jù),進而更高效的開展數(shù)據(jù)分析工作。
分配風(fēng)險評分的能力使安全團隊可以根據(jù)組織所在行業(yè)特定的風(fēng)險概況對數(shù)據(jù)進行優(yōu)先級排序。使用圍繞源、類型、屬性和上下文以及對手屬性設(shè)置的參數(shù)來過濾掉噪音,并優(yōu)先考慮真正重要的事情。
數(shù)據(jù)驅(qū)動安全的方法能夠在企業(yè)內(nèi)部構(gòu)造一個安全閉環(huán),根據(jù)優(yōu)先級、威脅、活動和漏洞等相關(guān)數(shù)據(jù)不斷更新,收集更多數(shù)據(jù)和上下文,并通過數(shù)據(jù)分析和應(yīng)用來更新優(yōu)先級和評分以實現(xiàn)持續(xù)改進。但事實上,專注于數(shù)據(jù)的能力只是未來 SOC 需要高效和有效的核心能力之一。
開放式集成框架是未來SOC的第二大核心
首先必須強調(diào)的是,未來的 SOC 必須是數(shù)據(jù)驅(qū)動的,因此系統(tǒng)和工具必須能夠協(xié)同工作,并且需要確保數(shù)據(jù)鞥能夠在整個基礎(chǔ)框架中有序的流動。開放的重要性在今天已經(jīng)無需多言,無論是SOC還是XDR,只有基于開放式的架構(gòu)方法才能夠有效的運轉(zhuǎn)。
事實上,安全分析所需要的數(shù)據(jù)來自多種不同的技術(shù)、威脅源和其他第三方來源。一份業(yè)內(nèi)的研究曾提到,平均而言,一家大型組織機構(gòu)可能會擁有45 種不同的安全工具。通常而言,組織會依賴某一家“大型供應(yīng)商”來集中解決其中大部分安全任務(wù),但仍然也會采購幾家小型供應(yīng)商,以補充大型供應(yīng)商覆蓋面的不足。組織內(nèi)部的安全協(xié)同需要一個集成工具來完成,一個開放的集成架構(gòu)將解決所有這些場景:與當今的安全團隊合作,實現(xiàn)與各個工具的集成。
在一次安全事件爆發(fā)后,組織需要快速卻全面的啟動應(yīng)急響應(yīng)工作,因此往往要聯(lián)動多個安全產(chǎn)品以查找整個組織內(nèi)部中相關(guān)聯(lián)的資產(chǎn)和數(shù)據(jù)。將這些單點的安全工具連接起來并通過額外的情景化智能數(shù)據(jù)分析,便需要跨工具的深度集成,以便團隊能夠充分了解如何補救和響應(yīng)事件。因此,雙向集成使數(shù)據(jù)能夠流入和流出,自動將相關(guān)策略和命令發(fā)送回防御網(wǎng)格中的正確工具中,以加快響應(yīng)速度。
因此,數(shù)據(jù)驅(qū)動的SOC必須要以開放式集成框架來協(xié)同。除此以外,未來SOC還需要最后一個高效和有效的構(gòu)建模塊——平衡自動化與人工參與的能力。
讓自動化在人與機器之間找到平衡
是未來SOC的第三個基石
當前,在談及SOC的自動化時,有部分安全專家支持自動化SOC內(nèi)的一切,但事實上,完全的自動化帶來的挑戰(zhàn)會更加難以想象。因此,探索一種在人與機器之間找到平衡的自動化方法才是正確方向。SOC的最佳性價比應(yīng)該是讓自動化能夠大范圍應(yīng)用到重復(fù)性、低風(fēng)險、耗時的任務(wù),同時讓安全專家主導(dǎo)那些不規(guī)則、影響大、時間敏感的告警,當人與機器之間取得平衡時,自動化可確保團隊始終擁有完成工作的最佳工具。
一方面,攻擊者正在變得更加狡猾,他們也正在嘗試轉(zhuǎn)向以復(fù)雜的策略突破組織防線。因此,檢測與響應(yīng)技術(shù)的重點也已經(jīng)從發(fā)現(xiàn)一次攻擊,轉(zhuǎn)向了發(fā)現(xiàn)一次攻擊在組織內(nèi)部已經(jīng)實際造成的攻擊影響,并根據(jù)資產(chǎn)的情況,輔助安全專家更輕松、更高效的識別到不同攻擊行為之間的關(guān)聯(lián),精準的發(fā)現(xiàn)那些針對整個組織發(fā)起的惡意活動。
另一方面,如果能夠?qū)踩珜<覀€人沉淀下來的知識和經(jīng)驗帶入到SOC的流程中,便能夠極大的增強攻擊事件溯源的時效性,例如,如果目標包括財務(wù)部門、人力資源或最高管理層,這可能表明存在更嚴重的威脅。從那里,他們可以轉(zhuǎn)向描述活動、對手及其策略、技術(shù)和程序 (TTP) 的 MITRE ATT&CK 等外部數(shù)據(jù)源,以了解有關(guān)惡意軟件的更多信息,然后進一步擴大搜索范圍。如果他們發(fā)現(xiàn)某個指標與特定的活動或?qū)κ窒嚓P(guān)聯(lián),是否有相關(guān)的工件需要在其他工具中尋找以確認惡意活動的存在?還可以將哪些其他智能部署到基礎(chǔ)架構(gòu)以進行未來攔截?這種復(fù)雜程度的調(diào)查工作再交由通過自動化來協(xié)作。這是驗證數(shù)據(jù)和發(fā)現(xiàn)、連接點并揭示包括所有受影響系統(tǒng)的攻擊全貌,而不是單個系統(tǒng)上的單個事件的最有效和最有效的方法。
因此,當自動化在人與機器之間有意識地平衡時,SOC便能夠發(fā)揮最大功效,再與開放集成框架支持的數(shù)據(jù)驅(qū)動的安全方法相結(jié)合時,SOC 擁有了更高效、更徹底地工作以更好地管理當前和未來風(fēng)險所需的基礎(chǔ)。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
