安全运营中心(SOC)是一种自动化的高效平台,已被众多企业所采纳作为其安全运营的得力助手。但是,在SOC平台的运营过程中,却难免会遇见一些难题。前几日,ISACA网络研讨会成功举行,会议的重点即安全运营中心的治理。本文将会议整理为问答形式,帮助企业获得SOC运营的提示以及了解SOC平台的趋势。
Q:既然SOC首先是一个团队,那么传统SOC与现代SOC的区别在于哪些功能?
A:区别的功能包括:威胁狩猎、威胁情报、数据分析以及一些别的功能。这些在传统的SOC中都不太常见。具体的可以看这篇论文章《SOC的未来:SOC的运营者——重要的是技能,而不是等级》。
Q:能否实现基于AI/AL的完全自动化,实现“观察—调整—决策—行动”的OODA循环?使SOC可以实现完全自动化的上机日志源、威胁检测规则的创建、PlayBook的创建、响应、自动集成和执行。
A:以目前的现状来看,短时间内,大多数SOC无法实现完全自动化。最麻烦的部分是在自动响应和其他行为的行为链末端。此外,还有一些有高度不确定性的状况仍然需要人工手动处理。最后,一些棘手的遥测源的上线,有时也需要人工迭代和调整配置。
如今,自动化在检测自动化在检测(创建警报)和分流(充实和确认警报)等领域已经变得十分普遍,但在补救和数据上机方面却不尽如人意。我不指望这方面在短时间内会有什么大规模的变化,但随着企业采用更多的公共云,这些领域的自动化自然也会随之增长。
Q:SIEM和SOC之间的区别是什么?
A:SIEM是一种特殊的安全工具,而SOC则是一个团队以及他们使用的相关流程和工具(目前大部分SOC中包含了SIEM)。这就是为什么当我听到 SOC-as-a-service(安全运营即服务)时,总是感到有点奇怪。我个人更喜欢MDR这个词。
Q:如果我们不能把顶级攻击者赶出我们的网络,那公司该如何应对这种风险?
A:在这里,我很难给出规范性的建议,因为这是一个艰巨的挑战,并且属于“随机应变”的领域。遇到这种情况,大多数组织会寻求帮助,来邀请第三方事件响应团队来协助他们调查,最终将攻击者赶出去。
虽然听上去有些悲观,但是我们完全有可能会遇到比自己的团队更强的攻击者(即便你的团队已经很优秀)。在这种情况下,企业不得不寻求帮助。尽管这会产生成本,但却是无法避免的。
Q:你认为需要采取基于风险的方法来设计和管理现代SOC吗?
A:在你的问题里,”基于风险 “的意思较为模糊。目前,大多数正在运行的SOC并不是完全基于合规条例中的固定检查表而建立的。在这种情况下,我遇到的大多数SOC至少在某种程度上是基于风险的。
Q:怎样才能成为一个优秀的SOC?
A:这很难用几句话来概括。不过,我认为一个糟糕的SOC是因为过度关注技术以及过度苛求流程,而一个优秀的SOC则是把运营的人放在首位,然后才是流程以及技术。
Q:你对SOC中使用的AI工具有什么看法?
A:从我还是一个分析师的时候我就开始思考这个问题,到现在已经持续了很多年。随着时间的推移,我也有了自己的立场:唯一的办法是在短期内对AI用于安全领域持怀疑态度,但站在长远角度则持乐观态度。
虽然有很多供应商疯狂地夸大其词,称他们的ML/AI工具如何帮助安全分析师顺利解决问题。然而,正如人工智能在其他领域逐步发展去帮助人类一样,网络安全领域中的AI也需要发展。
今天,你在SOC中最有可能遇到的基于机器学习的工具是某种形式的异常检测,如UEBA工具或NDR。虽然这些工具是有效的,它们产生的警报往往是有用的(就像常规的基于规则的警报)。然而,我非常清楚,今天的SOC中还没有 “cyber AI “的魔力。
Q:你对威胁狩猎人员的技能要求是什么?
A:这个问题很难回答,我在做分析师的时候也曾试图回答这个问题。鉴于伟大的狩猎最终是一门艺术,但上述艺术家也需要成为顶级的技术专家,因此想要定义这个技能组合是非常困难的。不过可以肯定的是,威胁知识、深厚的IT技术知识和创造性思维都必不可少。
Q:一个小公司/创业公司如何权衡人才与工具和成本?
A:这是我在做分析师的时候处理的另一问题。众所周知,小公司将使用更多的第三方服务,即外包服务。有些企业根本就没有SOC,而是靠MSSP或MDR供应商。也有一些用的是混合模式。
当然,这既有好处也有隐患。一个关键的隐患就是:不能认为你给别人钱,他们就能把你的安全做好。
Q:SOC即服务和内部SOC的情况如何?您的建议是否适用于这两种情况?
A:如果你所说的SOC即服务是指利用MSSP或MDR供应商,那么网络研讨会上的一些建议是适用的。MSSP供应商可能遵循更传统的SOC方法,也可能使用这里讨论的现代SOC要素。不过,我遇到的许多MDR提供商都采用现代SOC方法。
来源:medium