安全運(yùn)營(yíng)中心(SOC)是一種自動(dòng)化的高效平臺(tái)，已被眾多企業(yè)所采納作為其安全運(yùn)營(yíng)的得力助手。但是，在SOC平臺(tái)的運(yùn)營(yíng)過(guò)程中，卻難免會(huì)遇見(jiàn)一些難題。前幾日，ISACA網(wǎng)絡(luò)研討會(huì)成功舉行，會(huì)議的重點(diǎn)即安全運(yùn)營(yíng)中心的治理。本文將會(huì)議整理為問(wèn)答形式，幫助企業(yè)獲得SOC運(yùn)營(yíng)的提示以及了解SOC平臺(tái)的趨勢(shì)。

[[399973]]

Q：既然SOC首先是一個(gè)團(tuán)隊(duì)，那么傳統(tǒng)SOC與現(xiàn)代SOC的區(qū)別在于哪些功能?

A：區(qū)別的功能包括：威脅狩獵、威脅情報(bào)、數(shù)據(jù)分析以及一些別的功能。這些在傳統(tǒng)的SOC中都不太常見(jiàn)。

Q：能否實(shí)現(xiàn)基于A(yíng)I/AL的完全自動(dòng)化，實(shí)現(xiàn)“觀(guān)察—調(diào)整—決策—行動(dòng)”的OODA循環(huán)?使SOC可以實(shí)現(xiàn)完全自動(dòng)化的上機(jī)日志源、威脅檢測(cè)規(guī)則的創(chuàng)建、PlayBook的創(chuàng)建、響應(yīng)、自動(dòng)集成和執(zhí)行。

A：以目前的現(xiàn)狀來(lái)看，短時(shí)間內(nèi)，大多數(shù)SOC無(wú)法實(shí)現(xiàn)完全自動(dòng)化。最麻煩的部分是在自動(dòng)響應(yīng)和其他行為的行為鏈末端。此外，還有一些有高度不確定性的狀況仍然需要人工手動(dòng)處理。最后，一些棘手的遙測(cè)源的上線(xiàn)，有時(shí)也需要人工迭代和調(diào)整配置。

如今，自動(dòng)化在檢測(cè)自動(dòng)化在檢測(cè)(創(chuàng)建警報(bào))和分流(充實(shí)和確認(rèn)警報(bào))等領(lǐng)域已經(jīng)變得十分普遍，但在補(bǔ)救和數(shù)據(jù)上機(jī)方面卻不盡如人意。我不指望這方面在短時(shí)間內(nèi)會(huì)有什么大規(guī)模的變化，但隨著企業(yè)采用更多的公共云，這些領(lǐng)域的自動(dòng)化自然也會(huì)隨之增長(zhǎng)。

Q：SIEM和SOC之間的區(qū)別是什么?

A：SIEM是一種特殊的安全工具，而SOC則是一個(gè)團(tuán)隊(duì)以及他們使用的相關(guān)流程和工具(目前大部分SOC中包含了SIEM)。這就是為什么當(dāng)我聽(tīng)到 SOC-as-a-service(安全運(yùn)營(yíng)即服務(wù))時(shí)，總是感到有點(diǎn)奇怪。我個(gè)人更喜歡MDR這個(gè)詞。

Q：如果我們不能把頂級(jí)攻擊者趕出我們的網(wǎng)絡(luò)，那公司該如何應(yīng)對(duì)這種風(fēng)險(xiǎn)?

A：在這里，我很難給出規(guī)范性的建議，因?yàn)檫@是一個(gè)艱巨的挑戰(zhàn)，并且屬于“隨機(jī)應(yīng)變”的領(lǐng)域。遇到這種情況，大多數(shù)組織會(huì)尋求幫助，來(lái)邀請(qǐng)第三方事件響應(yīng)團(tuán)隊(duì)來(lái)協(xié)助他們調(diào)查，最終將攻擊者趕出去。

雖然聽(tīng)上去有些悲觀(guān)，但是我們完全有可能會(huì)遇到比自己的團(tuán)隊(duì)更強(qiáng)的攻擊者(即便你的團(tuán)隊(duì)已經(jīng)很優(yōu)秀)。在這種情況下，企業(yè)不得不尋求幫助。盡管這會(huì)產(chǎn)生成本，但卻是無(wú)法避免的。

Q：你認(rèn)為需要采取基于風(fēng)險(xiǎn)的方法來(lái)設(shè)計(jì)和管理現(xiàn)代SOC嗎?

A：在你的問(wèn)題里，"基于風(fēng)險(xiǎn) "的意思較為模糊。目前，大多數(shù)正在運(yùn)行的SOC并不是完全基于合規(guī)條例中的固定檢查表而建立的。在這種情況下，我遇到的大多數(shù)SOC至少在某種程度上是基于風(fēng)險(xiǎn)的。

Q：怎樣才能成為一個(gè)優(yōu)秀的SOC?

A：這很難用幾句話(huà)來(lái)概括。不過(guò)，我認(rèn)為一個(gè)糟糕的SOC是因?yàn)檫^(guò)度關(guān)注技術(shù)以及過(guò)度苛求流程，而一個(gè)優(yōu)秀的SOC則是把運(yùn)營(yíng)的人放在首位，然后才是流程以及技術(shù)。

Q：你對(duì)SOC中使用的AI工具有什么看法?

A：從我還是一個(gè)分析師的時(shí)候我就開(kāi)始思考這個(gè)問(wèn)題，到現(xiàn)在已經(jīng)持續(xù)了很多年。隨著時(shí)間的推移，我也有了自己的立場(chǎng)：唯一的辦法是在短期內(nèi)對(duì)AI用于安全領(lǐng)域持懷疑態(tài)度，但站在長(zhǎng)遠(yuǎn)角度則持樂(lè)觀(guān)態(tài)度。

雖然有很多供應(yīng)商瘋狂地夸大其詞，稱(chēng)他們的ML/AI工具如何幫助安全分析師順利解決問(wèn)題。然而，正如人工智能在其他領(lǐng)域逐步發(fā)展去幫助人類(lèi)一樣，網(wǎng)絡(luò)安全領(lǐng)域中的AI也需要發(fā)展。

今天，你在SOC中最有可能遇到的基于機(jī)器學(xué)習(xí)的工具是某種形式的異常檢測(cè)，如UEBA工具或NDR。雖然這些工具是有效的，它們產(chǎn)生的警報(bào)往往是有用的(就像常規(guī)的基于規(guī)則的警報(bào))。然而，我非常清楚，今天的SOC中還沒(méi)有 "cyber AI "的魔力。

Q：你對(duì)威脅狩獵人員的技能要求是什么?

A：這個(gè)問(wèn)題很難回答，我在做分析師的時(shí)候也曾試圖回答這個(gè)問(wèn)題。鑒于偉大的狩獵最終是一門(mén)藝術(shù)，但上述藝術(shù)家也需要成為頂級(jí)的技術(shù)專(zhuān)家，因此想要定義這個(gè)技能組合是非常困難的。不過(guò)可以肯定的是，威脅知識(shí)、深厚的IT技術(shù)知識(shí)和創(chuàng)造性思維都必不可少。

Q：一個(gè)小公司/創(chuàng)業(yè)公司如何權(quán)衡人才與工具和成本?

A：這是我在做分析師的時(shí)候處理的另一問(wèn)題。眾所周知，小公司將使用更多的第三方服務(wù)，即外包服務(wù)。有些企業(yè)根本就沒(méi)有SOC，而是靠MSSP或MDR供應(yīng)商。也有一些用的是混合模式。

當(dāng)然，這既有好處也有隱患。一個(gè)關(guān)鍵的隱患就是：不能認(rèn)為你給別人錢(qián)，他們就能把你的安全做好。

Q：SOC即服務(wù)和內(nèi)部SOC的情況如何?您的建議是否適用于這兩種情況?

A：如果你所說(shuō)的SOC即服務(wù)是指利用MSSP或MDR供應(yīng)商，那么網(wǎng)絡(luò)研討會(huì)上的一些建議是適用的。MSSP供應(yīng)商可能遵循更傳統(tǒng)的SOC方法，也可能使用這里討論的現(xiàn)代SOC要素。不過(guò)，我遇到的許多MDR提供商都采用現(xiàn)代SOC方法。

來(lái)源：medium