碳泽技术研究——下一代SOAR:携带威胁情报驰援而来
引言
数字化转型对任何企业的好处都是显而易见的,但是新技术也扩展了攻击面,使攻击者无处不在,这种转换也会带来安全隐患。随着云计算、自动化和人工智能成为主流,攻击者可以在前所未有的复杂性和规模下,凭借最少的人工干预进行攻击活动。在不中断业务的情况下,在整个企业中实施和维持健康的安全状态变得越来越艰巨。这种情况下,安全运营中心(SOC)发挥着至关重要的作用。安全运营团队负责使用集成的安全技术、简化的流程和人力来检测、调查和响应高级网络威胁,以应对先进的网络威胁。不幸的是,由于缺乏网络安全技能、大量警报噪音、大量未连接的安全工具以及缺乏外部威胁环境,各种规模的安全团队都无法全力以赴地运作。为了应对这些挑战,我们首先需要分解安全运营团队的内部工作,并了解会发生什么。只有这样,我们才能体会到安全运营团队所面临的巨大挑战,并开始应用可行的解决方案。在大型组织中,成熟的安全运营团队有很多活动的内容。三个主要功能构成了有效的安全运营:安全运营人员、事件响应者和威胁情报分析师。
安全运营人员
图 - 安全运营人员所面临的问题
安全运营人员每天都会查看成千上万的内部警报,这些警报来源于安全信息和事件管理(SIEM)技术、端点检测和响应(EDR)系统,有时还有数百种其他内部安全工具。他们的工作是企业的眼睛:检测、调查、确定安全事件的根本原因,并对安全事件做出快速反应。安全运营人员使用检测工具持续监控网络,识别和调查潜在威胁。一旦识别出潜在风险,分析师还需要记录他们的发现,并与其他利益相关者分享建议的行动。
自动化处理日常任务,使他们可以专注于真正重要的事情。
与团队其他成员进行实时协作,使他们始终保持同步并相互学习。
威胁情报可提供背景信息,以帮助他们了解威胁的相关性和潜在影响。
事件响应者
事件响应者担心破坏控制。他们寻找可能的违规行为,如果找到证据,则他们的工作就是调查并防止其扩散。由于违规行为的敏感性质,所有证据都必须记录在案,并与所有利益相关者共享。事件响应者可以访问帮助他们阻止违规行为的工具,例如EDR。他们与防火墙管理员合作,部署阻止网络级别传播的策略。他们严重依赖外部威胁情报来了解攻击者的概况和常用技术,从而使他们能够自信而准确地做出响应。因此,事件响应者往往面临以下方面的挑战:
知识转移,团队之间缺乏协作会导致安全漏洞。
案例管理,因为通用案例管理对于安全用例来说并不理想,导致效率低下和文档质量差。
缺乏威胁情报,因为许多事件响应者被迫使用手动的、有缺陷的流程来获取外部威胁的背景信息,从而导致延迟和风险。
而对于事件响应者来说,他们则需要:
全面的安全案例管理:这可详细记录他们的发现,并使其能够与其他利益相关者实时协作,并在整个企业范围内提供预防和隔离措施。
威胁情报:可提供有关攻击者及其动机的更深层次的信息。
威胁情报分析师
威胁分析人员确定组织网络中未发现的潜在风险。他们通过将来自多个来源的外部威胁情报源与人类情报相结合,提供有关潜在威胁的背景信息。根据SANS最近进行的一项调查,有49.5%的组织拥有某种类型的威胁情报团队或计划,拥有专门的预算和人员编制。这证明了威胁情报分析师越来越重要,他们可以帮助确定攻击者,揭示他们的动机、技术和过程。威胁情报团队将其对特定攻击的发现以及更广泛的威胁态势报告传递给SOC和事件响应团队,以制定更好的预防措施。威胁情报分析师面临的问题包括:
对威胁情报源的控制不足,迫使分析人员手动调整和对危害指标(IOC)进行评分以匹配其环境。
孤立的工作流,导致事件响应和威胁情报工具、团队和流程之间的通信和集成较差。
将威胁情报付诸行动之后,很难采取行动是因为需要高度手动,并且依赖于其他团队。
完全控制威胁情报源指标,以根据其环境和业务需求建立自己的逻辑和信誉。
与其他团队合作,为他们提供丰富的背景知识和最新的研究成果。
强大的文档,记录他们的发现。
来自下一代SOAR的驰援
图 - 安全运营团队一天中的典型工作
安全小组仍然依靠孤立的威胁情报平台(TIPs)来提供外部威胁的可见性,但由于团队在不连贯的威胁源上难以对相关指标采取自动化行动,TIP未能兑现其承诺。行业分析师已经意识到这是一个问题,他们提供了SOAR和TIP需要融合的指导。TIP只是通过汇总情报源来增加复杂性,而不需要现实环境或自动化来采取快速、自信的行动。是时候采用另一种思路了。作为下一代SOAR技术发展思路的一部分,SOAR将融合威胁情报管理,通过统一威胁情报的聚合、评分和与剧本驱动的自动化共享,使高优先级的威胁被更清楚地及时了解,同时更快作出正确的响应。基于理想中的下一代SOAR,您可以做到:
使用自动化的剧本消除手动任务,以汇总、解析、重复数据删除和管理多个源中的数百万个指标。轻松扩展和编辑IOC评分。查找具有与你的特定环境最相关的指标的提供商。
通过将第三方威胁情报与内部事件分层来揭示关键威胁,以对警报进行优先级排序并做出更明智的响应决策。
采取自动措施立即关闭整个企业中的威胁。通过轻松地在内部团队和受信任的组织之间共享威胁情报,扩大调查范围。
理想中的下一代SOAR将包括本地的威胁情报管理,使团队能够打破安全运营和威胁情报功能之间的孤岛。当这些功能在同一个平台上一起提供时,安全运营人员、事件响应者和威胁情报团队可以统一他们应对高级对手的努力,优化他们的沟通、效率和洞察力。
碳泽® 千乘安全编排自动化响应平台也正是基于这一逻辑演进的下一代SOAR产品:千乘SOAR基于碳泽团队多年安全行业积累,不仅能为您提供极具参考价值的工作流最佳实践,协助您的团队应对各类威胁,作出合适且迅速的响应,还能基于碳泽内部情报源与对国内外各类网络空间威胁情报的有机集成,为您的安全运营团队提供「确实能在安全运营中落地」的威胁情报。
如您有任何疑问,请不吝与我们联系。
销售咨询:sales@tanze.io电话:400-1788-258
技术支持:support@tanze.io
官方网站:https://www.tanze.net.cn
当前,碳泽主要聚焦于为您提供:
下一代安全防御与响应能力(NGDR)建设;
漏洞全生命周期风险管理平台建设。
我们的产品包括:
碳泽®玉衡漏洞风险管理平台
碳泽®摇光深度安全检测系统
碳泽®开阳Web安全评估系统
碳泽®千乘安全编排自动化响应平台
点分享
点点赞
点在看