檢測與響應時代 統一SOC才是成功之路
責編:gltian |2019-07-18 10:39:1230 多年前,羅納德·里根總統呼吁 “推倒柏林墻”。其實,對于網絡安全專業人士來說,也是一條值得關注的建議。統一后的德國現在是一個經濟強國,為其公民提供了更好的生活。而通過拆除組織機構中不同安全小組之間的墻,我們可以使安全運營中心 (Security Operations Center, SOC) 成為一個強大的平臺。這將使我們能夠重新分配我們的資源——人才和技術,以增強安全性。
網絡攻擊不是個 “是否“ 的問題,而是什么時候以及如何攻擊我們的問題,因此 SOC 的任務已經轉向檢測和響應。SOC 團隊需要能夠檢測、調查、分析、主動捕獲和響應威脅。這些任務需要高技能人才,然而很難找到這些人,尤其是在全球網絡安全人才有 300 萬缺口,而且這一數字還在不斷增長的情況下。技能短缺直接影響到了 SOC 的效率和有效性。
企業戰略集團 (Enterprise Strategy Group, ESG) 最近對網絡安全專業人士和信息系統安全協會成員就其工作進行了調查。在報告 “2018網絡安全專業人員的生活和時代” 中總結道技能短缺的影響包括在職員工工作量增加,無法完全了解或利用一些安全技術的全部潛力,需要招募和培訓初級員工而不是雇傭有經驗的網絡安全專家。
外包是組織機構應對技能短缺的策略之一。Gartner 預測到 2020 年,服務中安全軟件的交付量將達到 50%。外包是輔助現有員工和專業技能的好方法,但你不能把所有事情都外包出去。你仍然需要找到一個更好的方法來使用你所擁有的資源。
以前有過關于 SOC 如何使用自動化來減少那些煩擾一級分析師并導致其精力耗盡,出現人為錯誤的時間密集型和手動任務的文章。自動化使他們可以自由地過渡到第二、三級活動上。實際上,自動化使你的人才庫夠專注于調查和響應,并在任務轉變時提供幫助。
下一步是重新思考如何把這個更大的團隊分配到第二級和第三極任務上,包括事件響應和捕獲、探測工程、威脅情報以及監視和探測。在傳統的升級模型中,第二級和第三極的分析人員獨立工作,對其他人正在執行的任務的可見性有限,我們應該考慮扁平化組織結構并采用協作模型。
通過一個提供單一協作環境的平臺,將威脅數據、證據和用戶整合在一起,分析師可以協作并共享信息。事件響應和威脅搜索之所以能得到改善,是因為比起之前并行的工作模式,分析人員可以自動看到其他人的工作會如何影響和進一步促進他們的工作。他們可以利用這些知識來加速獨立但相關的調查。該平臺存儲了關于對手及其戰術、技術和程序 (TTPs) 的調查、觀察和學習的歷史。分析人員可以在整個基礎設施中搜索和比較指標,并在高風險指標和內部日志數據之間找到可能的匹配項。分析人員可以通過合作探索組織機構的每個角落,查明對手的 TTPs,并發現和完全修復惡意活動。
為了改進檢測工程,SOC 可以與安全運營團隊的其他成員共享內部創建的智能。例如,端點和外圍團隊可以檢查散列和信譽列表,以阻止任何與攻擊活動相似或相關的內容。
為了支持威脅情報功能,該平臺還充當您訂閱的很多外部威脅源的中央存儲庫。全球威脅數據通過對內部威脅和事件數據進行規范化、擴充和豐富,提供單一的事實來源。為了降低噪音,可以基于自行設置參數的自定義風險評分,對數據進行相關性優先級排序,而不是依賴于一些供應商提供的全局風險評分。隨著新的數據和知識被添加到平臺上,智能將自動重新評估和排列優先級,使團隊重點對高風險威脅進行監視和檢測。
最后,協作模型減輕了安全專家的一些壓力,因為安全專家告訴 ESG 他們因為技能短缺問題備受煎熬。由于自動化,他們將更多的時間和資源集中在任務上,并且在共享環境中可視性大大提高,他們可以開始充分利用組織機構投資的安全工具和技術來加強安全狀況。初級分析師可以向其他人學習,更快地提升自己,更快地為推進 SOC 任務做出貢獻。
現在是時候推倒這堵墻,將 SOC 結構扁平化,并轉向協作模型。這是實現檢測和響應任務的下一步。