《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 未來(lái)的SOC安全運(yùn)營(yíng)中心需要補(bǔ)充三大能力:數(shù)據(jù)、開(kāi)放式集成框架和自動(dòng)化

未來(lái)的SOC安全運(yùn)營(yíng)中心需要補(bǔ)充三大能力:數(shù)據(jù),、開(kāi)放式集成框架和自動(dòng)化

2022-11-13
來(lái)源:安全419

  Google在此前發(fā)布的《自動(dòng)化安全運(yùn)營(yíng)中心SOC建設(shè)指南》中提到,,數(shù)字化轉(zhuǎn)型已經(jīng)成為全球既定的發(fā)展方向,企業(yè)上云也因此成為必選項(xiàng),。但與之同時(shí),,數(shù)字化轉(zhuǎn)型既給企業(yè)帶來(lái)了更加創(chuàng)新和高效的模式,也將企業(yè)信息安全的管理難度推向了新的高度,。

  當(dāng)越來(lái)越多的資產(chǎn)走向云端并成為攻擊者的目標(biāo),,組織暴露在外部的攻擊面也越來(lái)越大,傳統(tǒng)安全運(yùn)營(yíng)模式已經(jīng)無(wú)法跟上節(jié)奏,。安全運(yùn)營(yíng)團(tuán)隊(duì)需要一個(gè)全新的運(yùn)營(yíng)模式,,以便在數(shù)字原生世界保護(hù)企業(yè)業(yè)務(wù)的發(fā)展,也是數(shù)字化時(shí)代預(yù)防,、檢測(cè)與應(yīng)對(duì)安全威脅必不可少的舉措,。

  安全運(yùn)營(yíng)離不開(kāi)自動(dòng)化安全運(yùn)營(yíng)中心(SOC),面對(duì)更加復(fù)雜更加嚴(yán)峻的網(wǎng)絡(luò)攻擊威脅,,SOC安全運(yùn)營(yíng)中心需要更快,、更徹底的解決中包括:警報(bào)風(fēng)暴,、魚叉式網(wǎng)絡(luò)釣魚、事件響應(yīng),、威脅搜尋和威脅情報(bào)管理等在內(nèi)的安全運(yùn)營(yíng)難題,,而這一切只能通過(guò)正確的架構(gòu)方法來(lái)實(shí)現(xiàn)。

  為了更高效和更有效,,未來(lái)的SOC應(yīng)該做出哪些變革,?或許數(shù)據(jù)、開(kāi)放式集成框架和平衡自動(dòng)化是未來(lái) SOC 的答案,。

  數(shù)據(jù)驅(qū)動(dòng)是SOC安全運(yùn)營(yíng)中心的命脈

  數(shù)據(jù)是安全的命脈,,因?yàn)樗峁┝藖?lái)自廣泛的內(nèi)部和外部來(lái)源的上下文,包括系統(tǒng),、威脅,、漏洞、身份等等,。當(dāng)安全性由數(shù)據(jù)驅(qū)動(dòng)時(shí),,團(tuán)隊(duì)可以專注于相關(guān)的高優(yōu)先級(jí)問(wèn)題,做出最佳決策并采取正確的行動(dòng),。數(shù)據(jù)驅(qū)動(dòng)的安全性還提供了一個(gè)持續(xù)的反饋循環(huán),,使團(tuán)隊(duì)能夠捕獲和使用數(shù)據(jù)來(lái)改進(jìn)未來(lái)的分析。

  那么,,組織應(yīng)該如何幫助SOC專注于數(shù)據(jù)呢,?

  首先應(yīng)該從組織環(huán)境內(nèi)部聚合事件和相關(guān)指標(biāo),例如組織內(nèi)部的 SIEM 系統(tǒng),、日志管理存儲(chǔ)庫(kù),、端點(diǎn)檢測(cè)和響應(yīng) (EDR)、案例管理系統(tǒng)和其他安全基礎(chǔ)設(shè)施,。通過(guò)關(guān)聯(lián)這些數(shù)據(jù)以連接各個(gè)點(diǎn)并了解事件如何相互關(guān)聯(lián),,并使用來(lái)自訂閱的多個(gè)來(lái)源(商業(yè)、開(kāi)源,、政府,、行業(yè)、現(xiàn)有安全供應(yīng)商)的威脅情報(bào)數(shù)據(jù)自動(dòng)擴(kuò)充和豐富這些數(shù)據(jù),,以及像 MITRE ATT&CK 這樣的框架,。對(duì)來(lái)自不同來(lái)源、格式和語(yǔ)言的所有這些數(shù)據(jù)進(jìn)行規(guī)范化,,以便對(duì)數(shù)據(jù)進(jìn)行更深維度的分析,。

  其次,組織可以將環(huán)境內(nèi)部的事件和相關(guān)指標(biāo)與指標(biāo),、對(duì)手及其方法的外部數(shù)據(jù)相關(guān)聯(lián),, 通過(guò)了解與組織的相關(guān)性,,確定應(yīng)當(dāng)首先關(guān)注的正確數(shù)據(jù),以及哪些可以作為外圍數(shù)據(jù),,進(jìn)而更高效的開(kāi)展數(shù)據(jù)分析工作,。

  分配風(fēng)險(xiǎn)評(píng)分的能力使安全團(tuán)隊(duì)可以根據(jù)組織所在行業(yè)特定的風(fēng)險(xiǎn)概況對(duì)數(shù)據(jù)進(jìn)行優(yōu)先級(jí)排序。使用圍繞源,、類型,、屬性和上下文以及對(duì)手屬性設(shè)置的參數(shù)來(lái)過(guò)濾掉噪音,并優(yōu)先考慮真正重要的事情,。

  數(shù)據(jù)驅(qū)動(dòng)安全的方法能夠在企業(yè)內(nèi)部構(gòu)造一個(gè)安全閉環(huán),,根據(jù)優(yōu)先級(jí)、威脅,、活動(dòng)和漏洞等相關(guān)數(shù)據(jù)不斷更新,,收集更多數(shù)據(jù)和上下文,并通過(guò)數(shù)據(jù)分析和應(yīng)用來(lái)更新優(yōu)先級(jí)和評(píng)分以實(shí)現(xiàn)持續(xù)改進(jìn),。但事實(shí)上,,專注于數(shù)據(jù)的能力只是未來(lái) SOC 需要高效和有效的核心能力之一。

  開(kāi)放式集成框架是未來(lái)SOC的第二大核心

  首先必須強(qiáng)調(diào)的是,,未來(lái)的 SOC 必須是數(shù)據(jù)驅(qū)動(dòng)的,,因此系統(tǒng)和工具必須能夠協(xié)同工作,并且需要確保數(shù)據(jù)鞥能夠在整個(gè)基礎(chǔ)框架中有序的流動(dòng),。開(kāi)放的重要性在今天已經(jīng)無(wú)需多言,無(wú)論是SOC還是XDR,,只有基于開(kāi)放式的架構(gòu)方法才能夠有效的運(yùn)轉(zhuǎn),。

  事實(shí)上,安全分析所需要的數(shù)據(jù)來(lái)自多種不同的技術(shù),、威脅源和其他第三方來(lái)源,。一份業(yè)內(nèi)的研究曾提到,平均而言,,一家大型組織機(jī)構(gòu)可能會(huì)擁有45 種不同的安全工具,。通常而言,組織會(huì)依賴某一家“大型供應(yīng)商”來(lái)集中解決其中大部分安全任務(wù),,但仍然也會(huì)采購(gòu)幾家小型供應(yīng)商,,以補(bǔ)充大型供應(yīng)商覆蓋面的不足。組織內(nèi)部的安全協(xié)同需要一個(gè)集成工具來(lái)完成,,一個(gè)開(kāi)放的集成架構(gòu)將解決所有這些場(chǎng)景:與當(dāng)今的安全團(tuán)隊(duì)合作,,實(shí)現(xiàn)與各個(gè)工具的集成。

  在一次安全事件爆發(fā)后,,組織需要快速卻全面的啟動(dòng)應(yīng)急響應(yīng)工作,,因此往往要聯(lián)動(dòng)多個(gè)安全產(chǎn)品以查找整個(gè)組織內(nèi)部中相關(guān)聯(lián)的資產(chǎn)和數(shù)據(jù),。將這些單點(diǎn)的安全工具連接起來(lái)并通過(guò)額外的情景化智能數(shù)據(jù)分析,便需要跨工具的深度集成,,以便團(tuán)隊(duì)能夠充分了解如何補(bǔ)救和響應(yīng)事件,。因此,雙向集成使數(shù)據(jù)能夠流入和流出,,自動(dòng)將相關(guān)策略和命令發(fā)送回防御網(wǎng)格中的正確工具中,,以加快響應(yīng)速度。

  因此,,數(shù)據(jù)驅(qū)動(dòng)的SOC必須要以開(kāi)放式集成框架來(lái)協(xié)同,。除此以外,未來(lái)SOC還需要最后一個(gè)高效和有效的構(gòu)建模塊——平衡自動(dòng)化與人工參與的能力,。

  讓自動(dòng)化在人與機(jī)器之間找到平衡

  是未來(lái)SOC的第三個(gè)基石

  當(dāng)前,,在談及SOC的自動(dòng)化時(shí),有部分安全專家支持自動(dòng)化SOC內(nèi)的一切,,但事實(shí)上,,完全的自動(dòng)化帶來(lái)的挑戰(zhàn)會(huì)更加難以想象。因此,,探索一種在人與機(jī)器之間找到平衡的自動(dòng)化方法才是正確方向,。SOC的最佳性價(jià)比應(yīng)該是讓自動(dòng)化能夠大范圍應(yīng)用到重復(fù)性、低風(fēng)險(xiǎn),、耗時(shí)的任務(wù),,同時(shí)讓安全專家主導(dǎo)那些不規(guī)則、影響大,、時(shí)間敏感的告警,,當(dāng)人與機(jī)器之間取得平衡時(shí),自動(dòng)化可確保團(tuán)隊(duì)始終擁有完成工作的最佳工具,。

  一方面,,攻擊者正在變得更加狡猾,他們也正在嘗試轉(zhuǎn)向以復(fù)雜的策略突破組織防線,。因此,,檢測(cè)與響應(yīng)技術(shù)的重點(diǎn)也已經(jīng)從發(fā)現(xiàn)一次攻擊,轉(zhuǎn)向了發(fā)現(xiàn)一次攻擊在組織內(nèi)部已經(jīng)實(shí)際造成的攻擊影響,,并根據(jù)資產(chǎn)的情況,,輔助安全專家更輕松、更高效的識(shí)別到不同攻擊行為之間的關(guān)聯(lián),,精準(zhǔn)的發(fā)現(xiàn)那些針對(duì)整個(gè)組織發(fā)起的惡意活動(dòng),。

  另一方面,如果能夠?qū)踩珜<覀€(gè)人沉淀下來(lái)的知識(shí)和經(jīng)驗(yàn)帶入到SOC的流程中,,便能夠極大的增強(qiáng)攻擊事件溯源的時(shí)效性,,例如,,如果目標(biāo)包括財(cái)務(wù)部門、人力資源或最高管理層,,這可能表明存在更嚴(yán)重的威脅,。從那里,他們可以轉(zhuǎn)向描述活動(dòng),、對(duì)手及其策略,、技術(shù)和程序 (TTP) 的 MITRE ATT&CK 等外部數(shù)據(jù)源,以了解有關(guān)惡意軟件的更多信息,,然后進(jìn)一步擴(kuò)大搜索范圍,。如果他們發(fā)現(xiàn)某個(gè)指標(biāo)與特定的活動(dòng)或?qū)κ窒嚓P(guān)聯(lián),是否有相關(guān)的工件需要在其他工具中尋找以確認(rèn)惡意活動(dòng)的存在,?還可以將哪些其他智能部署到基礎(chǔ)架構(gòu)以進(jìn)行未來(lái)攔截,?這種復(fù)雜程度的調(diào)查工作再交由通過(guò)自動(dòng)化來(lái)協(xié)作。這是驗(yàn)證數(shù)據(jù)和發(fā)現(xiàn),、連接點(diǎn)并揭示包括所有受影響系統(tǒng)的攻擊全貌,,而不是單個(gè)系統(tǒng)上的單個(gè)事件的最有效和最有效的方法。

  因此,,當(dāng)自動(dòng)化在人與機(jī)器之間有意識(shí)地平衡時(shí),,SOC便能夠發(fā)揮最大功效,再與開(kāi)放集成框架支持的數(shù)據(jù)驅(qū)動(dòng)的安全方法相結(jié)合時(shí),,SOC 擁有了更高效,、更徹底地工作以更好地管理當(dāng)前和未來(lái)風(fēng)險(xiǎn)所需的基礎(chǔ)。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]