安全运营中心(SOC)里,安全分析师承担了绝大部分的网络安全任务。自动化是规避不可避免的人为因素的一种方式。
是人都会犯错,所以网络安全过程须将人为错误的因素纳入考虑。
安全分析师是安全团队的一部分,在专门的安全运营中心(SOC)工作,经常轮班负责预防、检测、评估与响应网络安全威胁与事件。安全分析师有时也负责实践和评估与安全有关的合规事宜。尽管有各种各样的托管安全服务提供商可以外包SOC职能,各类组织机构——尤其是大企业,往往会发展自身的内部SOC能力,即便不能包揽全部SOC工作,至少也要能处理其中一部分。
安全分析师通常是负责审查、分类警报及事件响应的网络安全人员。他们的专业技能包括网络分析、取证分析、恶意软件分析和威胁情报分析。Cybersecurity Ventures 的调查显示,全技能的安全分析师难以寻觅,网络安全人才短缺众所周知,安全行业当前失业率为0%。安全分析师的直接上级通常是网络安全经理,分析师呈报上去的SOC信息和洞见经过经理的消化吸收,再上呈给董事会和首席级高管。
常见错误
SOC通常每天从各层监视与检测产品中收到1万条警报。有些警报确实是来自各类黑客的攻击,但有很大一部分(很多情况下高达80%)都是误报。面对这么巨大的警报数量压力,导致分析师错过警报,或者由于“警报疲劳”或不正确排序而没能识别出高优先级的警报,几乎是不可避免的。
缺少时间、缺乏理解、培训不足,或者欠缺工作动力的安全分析师,往往只能分类出10%以下的警报,排序那些有着现成的优先级或者自己曾经见过的事件。而且,当事件需要深入分析时,安全分析师可能也没有足够的时间执行完整的分析,因而上报不准确或者不完整的攻击信息。
除了分类与响应错误,安全分析师可能出错的地方还有很多,比如安全产品的错误配置。发生漏报或错误配置时,安全分析师还有可能出于对个人影响的考虑而瞒报所致损害的程度,令情况更加复杂。
影响
安全分析师没能解决或排序警报时,事件响应就有可能被大幅拖慢甚至完全漏掉,设备和系统就有可能被侵入,并由此导致数据泄露、业务中断、数据渗漏,或者数据破坏。这些事件被发现和响应的时间往往会慢上许多,当安全分析师发现攻击方法和攻击规模时,限制与缓解攻击的复杂性和成本就会比有效排序警报的情况下大上几倍。另外,来自安全分析师有意或无意的错误信息,会致使安全主管交付不准确的报告,层层传递之下会对重要利益相关者产生不同影响。
减少失误
考虑到安全分析师每天收到的警报总量,我们必须专注在减少数量压力上。想要达到减轻分析师压力的目标,我们可以微调安全解决方案以减少误报,去除重复监视中的冗余,以及尽可能地自动化分析师的任务。
另外,若有健壮的预防基础,也能有效减少警报数量。这就要求协同漏洞管理团队,共同确保设备、操作系统和应用都得到正确配置与修复。除此之外,我们还需要能够有效分类与计算优先权值的解决方案,需要纳入威胁情报,需要特定于公司的数据——如受影响系统的关键性。
我们还要允许安全分析师有时间进行彻底的分析,允许他们提供的进展报告与最终报告不一致。
改变范式
作为驻扎一线的资源,我们不得不承认安全分析师承担了绝大部分的网络安全压力——很多情况下都是全年无休轮班处理事件检测与响应,很多分析师的岗位需要重构。分类与审查警报的一级分析师工作,以当前的形式是无法持续的。该职位需转化成完全自动化的过程,目前这一转变正在进行中。通过采用新技术自动化耗时耗力的人工操作,分析师就有机会去学习更高级的技术,在真正需要深度调查的事件上应用更具批判性的思维和更高级的分析方法。但这些高级安全分析师同样需要足够的培训,需要留够可有效工作的空间和时间,无需惧怕犯错会对自己造成影响。
另外,检测产品提供商需对自家产品标准配置下的误报率负责。虽然宁可错杀一千绝不放过一个的做法或许对供应商有利,但却给终端用户造成了很大麻烦,让他们最终淹没在无用噪音里,反而发现不了真正的信号。
Cybersecurity Ventures 关于网络安全人才短缺的文章:Cybersecurity Unemployment Rate Drops To Zero Percent