检测与响应时代 统一SOC才是成功之路

30 多年前,罗纳德·里根总统呼吁 “推倒柏林墙”。其实,对于网络安全专业人士来说,也是一条值得关注的建议。统一后的德国现在是一个经济强国,为其公民提供了更好的生活。而通过拆除组织机构中不同安全小组之间的墙,我们可以使安全运营中心 (Security Operations Center, SOC) 成为一个强大的平台。这将使我们能够重新分配我们的资源——人才和技术,以增强安全性。

网络攻击不是个 “是否“ 的问题,而是什么时候以及如何攻击我们的问题,因此 SOC 的任务已经转向检测和响应。SOC 团队需要能够检测、调查、分析、主动捕获和响应威胁。这些任务需要高技能人才,然而很难找到这些人,尤其是在全球网络安全人才有 300 万缺口,而且这一数字还在不断增长的情况下。技能短缺直接影响到了 SOC 的效率和有效性。

企业战略集团 (Enterprise Strategy Group, ESG) 最近对网络安全专业人士和信息系统安全协会成员就其工作进行了调查。在报告 “2018网络安全专业人员的生活和时代” 中总结道技能短缺的影响包括在职员工工作量增加,无法完全了解或利用一些安全技术的全部潜力,需要招募和培训初级员工而不是雇佣有经验的网络安全专家。

外包是组织机构应对技能短缺的策略之一。Gartner 预测到 2020 年,服务中安全软件的交付量将达到 50%。外包是辅助现有员工和专业技能的好方法,但你不能把所有事情都外包出去。你仍然需要找到一个更好的方法来使用你所拥有的资源。

以前有过关于 SOC 如何使用自动化来减少那些烦扰一级分析师并导致其精力耗尽,出现人为错误的时间密集型和手动任务的文章。自动化使他们可以自由地过渡到第二、三级活动上。实际上,自动化使你的人才库够专注于调查和响应,并在任务转变时提供帮助。

下一步是重新思考如何把这个更大的团队分配到第二级和第三极任务上,包括事件响应和捕获、探测工程、威胁情报以及监视和探测。在传统的升级模型中,第二级和第三极的分析人员独立工作,对其他人正在执行的任务的可见性有限,我们应该考虑扁平化组织结构并采用协作模型。

通过一个提供单一协作环境的平台,将威胁数据、证据和用户整合在一起,分析师可以协作并共享信息。事件响应和威胁搜索之所以能得到改善,是因为比起之前并行的工作模式,分析人员可以自动看到其他人的工作会如何影响和进一步促进他们的工作。他们可以利用这些知识来加速独立但相关的调查。该平台存储了关于对手及其战术、技术和程序 (TTPs) 的调查、观察和学习的历史。分析人员可以在整个基础设施中搜索和比较指标,并在高风险指标和内部日志数据之间找到可能的匹配项。分析人员可以通过合作探索组织机构的每个角落,查明对手的 TTPs,并发现和完全修复恶意活动。

为了改进检测工程,SOC 可以与安全运营团队的其他成员共享内部创建的智能。例如,端点和外围团队可以检查散列和信誉列表,以阻止任何与攻击活动相似或相关的内容。

为了支持威胁情报功能,该平台还充当您订阅的很多外部威胁源的中央存储库。全球威胁数据通过对内部威胁和事件数据进行规范化、扩充和丰富,提供单一的事实来源。为了降低噪音,可以基于自行设置参数的自定义风险评分,对数据进行相关性优先级排序,而不是依赖于一些供应商提供的全局风险评分。随着新的数据和知识被添加到平台上,智能将自动重新评估和排列优先级,使团队重点对高风险威胁进行监视和检测。

最后,协作模型减轻了安全专家的一些压力,因为安全专家告诉 ESG 他们因为技能短缺问题备受煎熬。由于自动化,他们将更多的时间和资源集中在任务上,并且在共享环境中可视性大大提高,他们可以开始充分利用组织机构投资的安全工具和技术来加强安全状况。初级分析师可以向其他人学习,更快地提升自己,更快地为推进 SOC 任务做出贡献。

现在是时候推倒这堵墙,将 SOC 结构扁平化,并转向协作模型。这是实现检测和响应任务的下一步。

上一篇:APT可在中小型企业网络内部停留数年

下一篇:安卓新标准:不用再集成每家OEM的功能啦!