無論被稱為SOC、CSOC(計算機安全運維中心)、網(wǎng)絡防御中心還是別的什么東西，安全運維中心(SOC)的根本使命都不會變——幫助企業(yè)檢測、分析、響應、報告和預防網(wǎng)絡安全事件。不過，隨著威脅態(tài)勢不斷改變，怎么有效做到這一點也發(fā)生了變化，分析師及其所依賴的技術身上的擔子也更重了。

很多SOC采取的是反應式方法，提供一套包括日志管理、實時監(jiān)視、事件響應和調(diào)查在內(nèi)的標準服務。他們使用傳統(tǒng)的SIEM(安全信息和事件管理)，從內(nèi)部源收集日志數(shù)據(jù)，進行關聯(lián)，以簡單實時的基于規(guī)則的分析來檢測已知威脅。只要觸發(fā)警報，他們就介入調(diào)查。一段時間里，這種水準的服務就足夠了。但隨著攻擊越來越復雜，很明顯有很多惡意行為都躲過了監(jiān)視且沒有產(chǎn)生明顯日志數(shù)據(jù)，比如零日漏洞攻擊和針對性惡意軟件。這意味著傳統(tǒng)攻擊檢測已經(jīng)不再那么有效了。

由于成功數(shù)據(jù)泄露事件數(shù)量持續(xù)增長，且攻擊者持續(xù)數(shù)周、數(shù)月甚至更長時間不被檢測到，如今僅僅調(diào)查警報已經(jīng)不夠了。SOC分析師們很清楚不可能檢測和封鎖所有攻擊的事實，他們必須采取積極的方式來保護公司資產(chǎn)，找出活躍威脅和被入侵系統(tǒng)。威脅捕獲的重點，在于積極找出進入到網(wǎng)絡中的威脅。這需要對可能被入侵系統(tǒng)的深入檢查及查閱大量歷史數(shù)據(jù)，以找出傳統(tǒng)警報機制沒有識別出的惡意活動。

投入威脅捕獲

威脅捕獲行動涉及一系列工具和技術。如果發(fā)現(xiàn)潛在數(shù)據(jù)泄露的證據(jù)，可以調(diào)查該系統(tǒng)以確定發(fā)生了什么、怎么發(fā)生的、是否有其他系統(tǒng)受到影響等，以便能夠遏制和緩解攻擊。然而不幸的是，人工捕獲行動投入大產(chǎn)出小，耗費大量人力物力，卻只有有限的機會可以查出東西。即便找出之前忽視掉的問題令人十分振奮，如果缺乏恰當?shù)募夹g對之做出處理，那也只會是時間和金錢的浪費。

幸虧安全分析技術和威脅情報的發(fā)展，有助于充分利用捉襟見肘的分析師資源，開展更有效率的行動。這些技術提供幫助的方式有兩種：將捕獲集中在更有可能被泄露的資產(chǎn)上，以及重評估已發(fā)生事件以揭示最新威脅情報。

捕獲被侵入系統(tǒng)

如大多數(shù)SOC分析師所知，很多情況下你是從普通員工報告‘某某系統(tǒng)有點不對勁’，而不是通過SIEM警報，來得知攻擊的發(fā)生。高級攻擊經(jīng)常能避免觸發(fā)明顯警報，但仍會留下有東西出了差錯的證據(jù)。被侵入的系統(tǒng)則會表現(xiàn)得與平時不一樣。但依賴人工來發(fā)現(xiàn)非正常活動是不夠的，而且跟不上當今的威脅態(tài)勢。

高級分析大顯身手之處正在于此。對潛在被侵入系統(tǒng)的積極發(fā)現(xiàn)和深入調(diào)查需要時間、精力和技術——這三樣東西對絕大多數(shù)企業(yè)而言都是非常珍貴的。高級分析能基于發(fā)現(xiàn)異常來輔助識別捕獲區(qū)域。突然偏離日常基線的系統(tǒng)，可能就正在運行新的未知進程、向不受信網(wǎng)絡發(fā)送大量信息，或者與正常業(yè)務范圍以外的地方進行通信。這些異常可能是無辜的，也可能指向潛在的被侵入系統(tǒng)。為發(fā)現(xiàn)此類異常，大多數(shù)成功捕獲行動會從幾種分析的綜合運用開始：統(tǒng)計分析以識別出離群值，機器學習算法以評估這些離群值，判斷是否與已知惡意行為類似?；谶@些分析，具備較高被侵入概率的系統(tǒng)會被標識出來，進行后續(xù)深入徹底的調(diào)查。

重新評估過去

威脅捕獲還包括通過檢查歷史數(shù)據(jù)找出可能被忽視掉的威脅。為克服傳統(tǒng)SIEM的限制，威脅捕獲采用基于大數(shù)據(jù)的新平臺，來采集、管理和分析來自各種內(nèi)部外部源的大量歷史數(shù)據(jù)。在第一輪實時分析可能會錯過什么東西的場合，可以使用大數(shù)據(jù)系統(tǒng)來檢查可能的大量日志儲備和其他可用數(shù)據(jù)源。通過采用最新威脅情報來重新分析，可具備重評估數(shù)據(jù)的能力，得到后見之明的好處。比如說，根據(jù)時下掌握的信息，通向命令與控制(C&C)基礎設施的潛在惡意連接，有可能沒被注意到。將更新過的威脅情報與網(wǎng)絡通信歷史元數(shù)據(jù)做對比，分析師就可能回顧性地發(fā)現(xiàn)攻擊。

無論是積極找尋被侵入系統(tǒng)，還是重評估過去事件，目標都是增加捕獲行動成功的可能性。大數(shù)據(jù)平臺;實時全球威脅情報;再輔以基于規(guī)則的、統(tǒng)計的機器學習分析，分析師肩上的擔子便能被有效減輕。為達成更具成效的捕獲探索，這些技術必須協(xié)同使用，并融進分析師對所處環(huán)境的洞見和知識。具備了從追逐警報到捕獲威脅的轉(zhuǎn)型能力，SOC便能進化得在面對高級攻擊時更加積極主動，更有效。