查看原文
其他

未来的SOC安全运营中心需要补充三大能力:数据、开放式集成框架和自动化

安全419编译 安全419 2023-06-22


Google在此前发布的《自动化安全运营中心SOC建设指南》中提到,数字化转型已经成为全球既定的发展方向,企业上云也因此成为必选项。但与之同时,数字化转型既给企业带来了更加创新和高效的模式,也将企业信息安全的管理难度推向了新的高度。


当越来越多的资产走向云端并成为攻击者的目标,组织暴露在外部的攻击面也越来越大,传统安全运营模式已经无法跟上节奏。安全运营团队需要一个全新的运营模式,以便在数字原生世界保护企业业务的发展,也是数字化时代预防、检测与应对安全威胁必不可少的举措。


安全运营离不开自动化安全运营中心(SOC),面对更加复杂更加严峻的网络攻击威胁,SOC安全运营中心需要更快、更彻底的解决中包括:警报风暴、鱼叉式网络钓鱼、事件响应、威胁搜寻和威胁情报管理等在内的安全运营难题,而这一切只能通过正确的架构方法来实现。


为了更高效和更有效,未来的SOC应该做出哪些变革?或许数据、开放式集成框架和平衡自动化是未来 SOC 的答案。



数据驱动是SOC安全运营中心的命脉


数据是安全的命脉,因为它提供了来自广泛的内部和外部来源的上下文,包括系统、威胁、漏洞、身份等等。当安全性由数据驱动时,团队可以专注于相关的高优先级问题,做出最佳决策并采取正确的行动。数据驱动的安全性还提供了一个持续的反馈循环,使团队能够捕获和使用数据来改进未来的分析。


那么,组织应该如何帮助SOC专注于数据呢? 


首先应该从组织环境内部聚合事件和相关指标,例如组织内部的 SIEM 系统、日志管理存储库、端点检测和响应 (EDR)、案例管理系统和其他安全基础设施。通过关联这些数据以连接各个点并了解事件如何相互关联,并使用来自订阅的多个来源(商业、开源、政府、行业、现有安全供应商)的威胁情报数据自动扩充和丰富这些数据,以及像 MITRE ATT&CK 这样的框架。对来自不同来源、格式和语言的所有这些数据进行规范化,以便对数据进行更深维度的分析。


其次,组织可以将环境内部的事件和相关指标与指标、对手及其方法的外部数据相关联, 通过了解与组织的相关性,确定应当首先关注的正确数据,以及哪些可以作为外围数据,进而更高效的开展数据分析工作。


分配风险评分的能力使安全团队可以根据组织所在行业特定的风险概况对数据进行优先级排序。使用围绕源、类型、属性和上下文以及对手属性设置的参数来过滤掉噪音,并优先考虑真正重要的事情。


数据驱动安全的方法能够在企业内部构造一个安全闭环,根据优先级、威胁、活动和漏洞等相关数据不断更新,收集更多数据和上下文,并通过数据分析和应用来更新优先级和评分以实现持续改进。但事实上,专注于数据的能力只是未来 SOC 需要高效和有效的核心能力之一。



开放式集成框架是未来SOC的第二大核心


首先必须强调的是,未来的 SOC 必须是数据驱动的,因此系统和工具必须能够协同工作,并且需要确保数据鞥能够在整个基础框架中有序的流动。开放的重要性在今天已经无需多言,无论是SOC还是XDR,只有基于开放式的架构方法才能够有效的运转。


事实上,安全分析所需要的数据来自多种不同的技术、威胁源和其他第三方来源。一份业内的研究曾提到,平均而言,一家大型组织机构可能会拥有45 种不同的安全工具。通常而言,组织会依赖某一家“大型供应商”来集中解决其中大部分安全任务,但仍然也会采购几家小型供应商,以补充大型供应商覆盖面的不足。组织内部的安全协同需要一个集成工具来完成,一个开放的集成架构将解决所有这些场景:与当今的安全团队合作,实现与各个工具的集成。


在一次安全事件爆发后,组织需要快速却全面的启动应急响应工作,因此往往要联动多个安全产品以查找整个组织内部中相关联的资产和数据。将这些单点的安全工具连接起来并通过额外的情景化智能数据分析,便需要跨工具的深度集成,以便团队能够充分了解如何补救和响应事件。因此,双向集成使数据能够流入和流出,自动将相关策略和命令发送回防御网格中的正确工具中,以加快响应速度。 


因此,数据驱动的SOC必须要以开放式集成框架来协同。除此以外,未来SOC还需要最后一个高效和有效的构建模块——平衡自动化与人工参与的能力。




让自动化在人与机器之间找到平衡

是未来SOC的第三个基石


当前,在谈及SOC的自动化时,有部分安全专家支持自动化SOC内的一切,但事实上,完全的自动化带来的挑战会更加难以想象。因此,探索一种在人与机器之间找到平衡的自动化方法才是正确方向。SOC的最佳性价比应该是让自动化能够大范围应用到重复性、低风险、耗时的任务,同时让安全专家主导那些不规则、影响大、时间敏感的告警,当人与机器之间取得平衡时,自动化可确保团队始终拥有完成工作的最佳工具。


一方面,攻击者正在变得更加狡猾,他们也正在尝试转向以复杂的策略突破组织防线。因此,检测与响应技术的重点也已经从发现一次攻击,转向了发现一次攻击在组织内部已经实际造成的攻击影响,并根据资产的情况,辅助安全专家更轻松、更高效的识别到不同攻击行为之间的关联,精准的发现那些针对整个组织发起的恶意活动。


另一方面,如果能够将安全专家个人沉淀下来的知识和经验带入到SOC的流程中,便能够极大的增强攻击事件溯源的时效性,例如,如果目标包括财务部门、人力资源或最高管理层,这可能表明存在更严重的威胁。从那里,他们可以转向描述活动、对手及其策略、技术和程序 (TTP) 的 MITRE ATT&CK 等外部数据源,以了解有关恶意软件的更多信息,然后进一步扩大搜索范围。如果他们发现某个指标与特定的活动或对手相关联,是否有相关的工件需要在其他工具中寻找以确认恶意活动的存在?还可以将哪些其他智能部署到基础架构以进行未来拦截?这种复杂程度的调查工作再交由通过自动化来协作。这是验证数据和发现、连接点并揭示包括所有受影响系统的攻击全貌,而不是单个系统上的单个事件的最有效和最有效的方法。


因此,当自动化在人与机器之间有意识地平衡时,SOC便能够发挥最大功效,再与开放集成框架支持的数据驱动的安全方法相结合时,SOC 拥有了更高效、更彻底地工作以更好地管理当前和未来风险所需的基础。 


THE END


// 推荐阅读

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存