十個問答解惑現(xiàn)代安全運營
責編:gltian |2021-05-17 17:05:30安全運營中心(SOC)是一種自動化的高效平臺,已被眾多企業(yè)所采納作為其安全運營的得力助手。但是,在SOC平臺的運營過程中,卻難免會遇見一些難題。前幾日,ISACA網(wǎng)絡研討會成功舉行,會議的重點即安全運營中心的治理。本文將會議整理為問答形式,幫助企業(yè)獲得SOC運營的提示以及了解SOC平臺的趨勢。
Q:既然SOC首先是一個團隊,那么傳統(tǒng)SOC與現(xiàn)代SOC的區(qū)別在于哪些功能?
A:區(qū)別的功能包括:威脅狩獵、威脅情報、數(shù)據(jù)分析以及一些別的功能。這些在傳統(tǒng)的SOC中都不太常見。具體的可以看這篇論文章《SOC的未來:SOC的運營者——重要的是技能,而不是等級》。
Q:能否實現(xiàn)基于AI/AL的完全自動化,實現(xiàn)“觀察—調(diào)整—決策—行動”的OODA循環(huán)?使SOC可以實現(xiàn)完全自動化的上機日志源、威脅檢測規(guī)則的創(chuàng)建、PlayBook的創(chuàng)建、響應、自動集成和執(zhí)行。
A:以目前的現(xiàn)狀來看,短時間內(nèi),大多數(shù)SOC無法實現(xiàn)完全自動化。最麻煩的部分是在自動響應和其他行為的行為鏈末端。此外,還有一些有高度不確定性的狀況仍然需要人工手動處理。最后,一些棘手的遙測源的上線,有時也需要人工迭代和調(diào)整配置。
如今,自動化在檢測自動化在檢測(創(chuàng)建警報)和分流(充實和確認警報)等領域已經(jīng)變得十分普遍,但在補救和數(shù)據(jù)上機方面卻不盡如人意。我不指望這方面在短時間內(nèi)會有什么大規(guī)模的變化,但隨著企業(yè)采用更多的公共云,這些領域的自動化自然也會隨之增長。
Q:SIEM和SOC之間的區(qū)別是什么?
A:SIEM是一種特殊的安全工具,而SOC則是一個團隊以及他們使用的相關流程和工具(目前大部分SOC中包含了SIEM)。這就是為什么當我聽到 SOC-as-a-service(安全運營即服務)時,總是感到有點奇怪。我個人更喜歡MDR這個詞。
Q:如果我們不能把頂級攻擊者趕出我們的網(wǎng)絡,那公司該如何應對這種風險?
A:在這里,我很難給出規(guī)范性的建議,因為這是一個艱巨的挑戰(zhàn),并且屬于“隨機應變”的領域。遇到這種情況,大多數(shù)組織會尋求幫助,來邀請第三方事件響應團隊來協(xié)助他們調(diào)查,最終將攻擊者趕出去。
雖然聽上去有些悲觀,但是我們完全有可能會遇到比自己的團隊更強的攻擊者(即便你的團隊已經(jīng)很優(yōu)秀)。在這種情況下,企業(yè)不得不尋求幫助。盡管這會產(chǎn)生成本,但卻是無法避免的。
Q:你認為需要采取基于風險的方法來設計和管理現(xiàn)代SOC嗎?
A:在你的問題里,”基于風險 “的意思較為模糊。目前,大多數(shù)正在運行的SOC并不是完全基于合規(guī)條例中的固定檢查表而建立的。在這種情況下,我遇到的大多數(shù)SOC至少在某種程度上是基于風險的。
Q:怎樣才能成為一個優(yōu)秀的SOC?
A:這很難用幾句話來概括。不過,我認為一個糟糕的SOC是因為過度關注技術以及過度苛求流程,而一個優(yōu)秀的SOC則是把運營的人放在首位,然后才是流程以及技術。
Q:你對SOC中使用的AI工具有什么看法?
A:從我還是一個分析師的時候我就開始思考這個問題,到現(xiàn)在已經(jīng)持續(xù)了很多年。隨著時間的推移,我也有了自己的立場:唯一的辦法是在短期內(nèi)對AI用于安全領域持懷疑態(tài)度,但站在長遠角度則持樂觀態(tài)度。
雖然有很多供應商瘋狂地夸大其詞,稱他們的ML/AI工具如何幫助安全分析師順利解決問題。然而,正如人工智能在其他領域逐步發(fā)展去幫助人類一樣,網(wǎng)絡安全領域中的AI也需要發(fā)展。
今天,你在SOC中最有可能遇到的基于機器學習的工具是某種形式的異常檢測,如UEBA工具或NDR。雖然這些工具是有效的,它們產(chǎn)生的警報往往是有用的(就像常規(guī)的基于規(guī)則的警報)。然而,我非常清楚,今天的SOC中還沒有 “cyber AI “的魔力。
Q:你對威脅狩獵人員的技能要求是什么?
A:這個問題很難回答,我在做分析師的時候也曾試圖回答這個問題。鑒于偉大的狩獵最終是一門藝術,但上述藝術家也需要成為頂級的技術專家,因此想要定義這個技能組合是非常困難的。不過可以肯定的是,威脅知識、深厚的IT技術知識和創(chuàng)造性思維都必不可少。
Q:一個小公司/創(chuàng)業(yè)公司如何權衡人才與工具和成本?
A:這是我在做分析師的時候處理的另一問題。眾所周知,小公司將使用更多的第三方服務,即外包服務。有些企業(yè)根本就沒有SOC,而是靠MSSP或MDR供應商。也有一些用的是混合模式。
當然,這既有好處也有隱患。一個關鍵的隱患就是:不能認為你給別人錢,他們就能把你的安全做好。
Q:SOC即服務和內(nèi)部SOC的情況如何?您的建議是否適用于這兩種情況?
A:如果你所說的SOC即服務是指利用MSSP或MDR供應商,那么網(wǎng)絡研討會上的一些建議是適用的。MSSP供應商可能遵循更傳統(tǒng)的SOC方法,也可能使用這里討論的現(xiàn)代SOC要素。不過,我遇到的許多MDR提供商都采用現(xiàn)代SOC方法。
來源:medium
- 周鴻祎領銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡安全永恒的“十大法則”
- 關于征集數(shù)據(jù)安全評估標準化應用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!