十個問答解惑現代安全運營
責編:gltian |2021-05-17 17:05:30安全運營中心(SOC)是一種自動化的高效平臺,已被眾多企業所采納作為其安全運營的得力助手。但是,在SOC平臺的運營過程中,卻難免會遇見一些難題。前幾日,ISACA網絡研討會成功舉行,會議的重點即安全運營中心的治理。本文將會議整理為問答形式,幫助企業獲得SOC運營的提示以及了解SOC平臺的趨勢。
Q:既然SOC首先是一個團隊,那么傳統SOC與現代SOC的區別在于哪些功能?
A:區別的功能包括:威脅狩獵、威脅情報、數據分析以及一些別的功能。這些在傳統的SOC中都不太常見。具體的可以看這篇論文章《SOC的未來:SOC的運營者——重要的是技能,而不是等級》。
Q:能否實現基于AI/AL的完全自動化,實現“觀察—調整—決策—行動”的OODA循環?使SOC可以實現完全自動化的上機日志源、威脅檢測規則的創建、PlayBook的創建、響應、自動集成和執行。
A:以目前的現狀來看,短時間內,大多數SOC無法實現完全自動化。最麻煩的部分是在自動響應和其他行為的行為鏈末端。此外,還有一些有高度不確定性的狀況仍然需要人工手動處理。最后,一些棘手的遙測源的上線,有時也需要人工迭代和調整配置。
如今,自動化在檢測自動化在檢測(創建警報)和分流(充實和確認警報)等領域已經變得十分普遍,但在補救和數據上機方面卻不盡如人意。我不指望這方面在短時間內會有什么大規模的變化,但隨著企業采用更多的公共云,這些領域的自動化自然也會隨之增長。
Q:SIEM和SOC之間的區別是什么?
A:SIEM是一種特殊的安全工具,而SOC則是一個團隊以及他們使用的相關流程和工具(目前大部分SOC中包含了SIEM)。這就是為什么當我聽到 SOC-as-a-service(安全運營即服務)時,總是感到有點奇怪。我個人更喜歡MDR這個詞。
Q:如果我們不能把頂級攻擊者趕出我們的網絡,那公司該如何應對這種風險?
A:在這里,我很難給出規范性的建議,因為這是一個艱巨的挑戰,并且屬于“隨機應變”的領域。遇到這種情況,大多數組織會尋求幫助,來邀請第三方事件響應團隊來協助他們調查,最終將攻擊者趕出去。
雖然聽上去有些悲觀,但是我們完全有可能會遇到比自己的團隊更強的攻擊者(即便你的團隊已經很優秀)。在這種情況下,企業不得不尋求幫助。盡管這會產生成本,但卻是無法避免的。
Q:你認為需要采取基于風險的方法來設計和管理現代SOC嗎?
A:在你的問題里,”基于風險 “的意思較為模糊。目前,大多數正在運行的SOC并不是完全基于合規條例中的固定檢查表而建立的。在這種情況下,我遇到的大多數SOC至少在某種程度上是基于風險的。
Q:怎樣才能成為一個優秀的SOC?
A:這很難用幾句話來概括。不過,我認為一個糟糕的SOC是因為過度關注技術以及過度苛求流程,而一個優秀的SOC則是把運營的人放在首位,然后才是流程以及技術。
Q:你對SOC中使用的AI工具有什么看法?
A:從我還是一個分析師的時候我就開始思考這個問題,到現在已經持續了很多年。隨著時間的推移,我也有了自己的立場:唯一的辦法是在短期內對AI用于安全領域持懷疑態度,但站在長遠角度則持樂觀態度。
雖然有很多供應商瘋狂地夸大其詞,稱他們的ML/AI工具如何幫助安全分析師順利解決問題。然而,正如人工智能在其他領域逐步發展去幫助人類一樣,網絡安全領域中的AI也需要發展。
今天,你在SOC中最有可能遇到的基于機器學習的工具是某種形式的異常檢測,如UEBA工具或NDR。雖然這些工具是有效的,它們產生的警報往往是有用的(就像常規的基于規則的警報)。然而,我非常清楚,今天的SOC中還沒有 “cyber AI “的魔力。
Q:你對威脅狩獵人員的技能要求是什么?
A:這個問題很難回答,我在做分析師的時候也曾試圖回答這個問題。鑒于偉大的狩獵最終是一門藝術,但上述藝術家也需要成為頂級的技術專家,因此想要定義這個技能組合是非常困難的。不過可以肯定的是,威脅知識、深厚的IT技術知識和創造性思維都必不可少。
Q:一個小公司/創業公司如何權衡人才與工具和成本?
A:這是我在做分析師的時候處理的另一問題。眾所周知,小公司將使用更多的第三方服務,即外包服務。有些企業根本就沒有SOC,而是靠MSSP或MDR供應商。也有一些用的是混合模式。
當然,這既有好處也有隱患。一個關鍵的隱患就是:不能認為你給別人錢,他們就能把你的安全做好。
Q:SOC即服務和內部SOC的情況如何?您的建議是否適用于這兩種情況?
A:如果你所說的SOC即服務是指利用MSSP或MDR供應商,那么網絡研討會上的一些建議是適用的。MSSP供應商可能遵循更傳統的SOC方法,也可能使用這里討論的現代SOC要素。不過,我遇到的許多MDR提供商都采用現代SOC方法。
來源:medium