[[410601]]

【51CTO.com快譯】安全運營中心(Security Operations Center，SOC)主要負責(zé)維護、監(jiān)控和保護組織中的信息系統(tǒng)和服務(wù)資源。作為一個情報中心，它能夠?qū)崟r收集在組織內(nèi)部資產(chǎn)(包括服務(wù)器、網(wǎng)絡(luò)、以及終端等)中流動的數(shù)據(jù)信息，并據(jù)此來識別安全事件，以及做出行之有效且及時的響應(yīng)。

通常，SOC會涉及到廣泛的技術(shù)、流程、以及經(jīng)驗豐富的安全專家團隊。而為了提高效率，SOC經(jīng)常會采用各種自動化的工具，來簡化和支持團隊的日常工作。例如，自動化的流程可以幫助他們識別出現(xiàn)有網(wǎng)絡(luò)中的安全威脅，根據(jù)既定的風(fēng)險標準和其他因素，來確定優(yōu)先級，并按需給出相應(yīng)的解決方法與建議。

歸納起來，SOC的主要活動和職責(zé)包括：

• 網(wǎng)絡(luò)監(jiān)控——通過不斷改進異常檢測的能力，來提高針對各種數(shù)字活動的可視性。
• 預(yù)防技術(shù)——其實施目的是為了廣泛地預(yù)防和阻止，那些已知和未知的風(fēng)險。
• 威脅檢測和情報——協(xié)助評估和確定每個安全事件的起源、嚴重性、以及影響程度。
• 主動事件響應(yīng)和補救——通過自動化工具和人工干預(yù)來提供支持。
• 報告功能——確保所有事件和威脅都能夠被及時地輸入至數(shù)據(jù)存儲庫，以便后續(xù)分析。其報告內(nèi)容將有助于讓未來的響應(yīng)能力更加及時與準確。
• 風(fēng)險與合規(guī)性——確保執(zhí)行和遵守各種來自政府和行業(yè)的法律與法規(guī)。

SOC技術(shù)棧的基本組件

常言道，沒有過硬的技術(shù)，SOC將根本無法運營。下面讓我們來討論那些構(gòu)成安全技術(shù)棧的關(guān)鍵工具。

安全信息和事件管理(Security Information and Event Management，SIEM)

SIEM會自動聚合那些來自多個網(wǎng)絡(luò)源的大量安全相關(guān)數(shù)據(jù)，并且對其進行分析與關(guān)聯(lián)。它可以幫助您將各種日志數(shù)據(jù)和網(wǎng)絡(luò)流量，整合到一個儀表板中，以便各個相關(guān)方便捷地使用這些信息。

SIEM方案通常會帶有內(nèi)置的分析功能，可以讓安全團隊以數(shù)據(jù)可視化的方式，識別其發(fā)展趨勢，并判定出可疑的模式。例如，通過收集和關(guān)聯(lián)一系列來源的數(shù)據(jù)，SIEM系統(tǒng)可以協(xié)助分析師從看似互不相關(guān)的活動和事件之間，識別出彼此的關(guān)系，進而發(fā)掘到潛在的攻擊信號。

SIEM平臺的另一個優(yōu)勢在于，它們可以將數(shù)據(jù)整合到報告中。也就是說，SIEM平臺能夠出于合規(guī)的目的，自動生成審計報告。這些報告通過展現(xiàn)當(dāng)前組織內(nèi)部的風(fēng)險狀況，以協(xié)助各個利益相關(guān)方(包括不精通網(wǎng)絡(luò)安全的高管、以及其他決策者)理解組織的安全態(tài)勢。

威脅情報

威脅情報平臺可以與SIEM系統(tǒng)相集成，提供警告的上下文。如今，各個組織往往會用到一整套安全工具，而其中的每個工具都會生成各種警告。如前所述，SIEM技術(shù)能夠?qū)⒏鞣N工具生成的信息匯總起來。而威脅情報工具則會通過各種威脅向量、及其技術(shù)數(shù)據(jù)，讓這些信息更加“豐富”、且有根據(jù)。

可以說，將威脅情報與SIEM結(jié)合使用的主要優(yōu)勢就在于：安全運營團隊能夠確定警告的優(yōu)先級，減少誤報的數(shù)量，確保自動化的流程更加高效，以及用最短的時間去處置那些真正可疑的異常行為與攻擊。

當(dāng)然，除了對警告進行優(yōu)先級排序之外，威脅情報團隊還能夠通過提供上下文信息，讓分析師有針對性地評估和確定每個警告的真正內(nèi)容與風(fēng)險級別。實際上，分析師和其他利益相關(guān)者可以使用威脅情報平臺，快速地確定警告的來源，識別受影響的系統(tǒng)和設(shè)備，進而發(fā)現(xiàn)威脅的類型。如有需要，分析師還可以快速地開展更深層次的調(diào)查，并追逐相關(guān)的惡意活動。

Web應(yīng)用程序防火墻 (WAF)

WAF旨在保護目標網(wǎng)絡(luò)免受惡意流量的侵害。它通過參考OWASP十大安全漏洞、零日威脅、未知應(yīng)用漏洞、和其他基于Web的威脅，及時有效地保護業(yè)務(wù)關(guān)鍵型Web應(yīng)用，免受各種威脅的入侵。

雖然WAF有著多種類型，但是它們都有一個相似的目標——通過分析各種HTTP的交互，在惡意攻擊抵達服務(wù)器之前，減少或消除這些惡意流量的準入。

與傳統(tǒng)防火墻相比，WAF能夠更好地了解通過HTTP傳輸?shù)母黝惷舾行畔ⅰＲ簿褪钦f，WAF可以防范那些通常能夠繞過傳統(tǒng)網(wǎng)絡(luò)防火墻的攻擊。而其另一個關(guān)鍵優(yōu)勢在于：WAF不需要更改應(yīng)用程序的源代碼，而是通過檢測惡意流量，來阻擋黑客利用應(yīng)用漏洞的各鐘可能。

擴展檢測和響應(yīng)(eXtended Detection and Response，XDR)

XDR技術(shù)屬于主動防御類型的安全技術(shù)棧(請參見--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-features-and-use-cases/)。它不但提供了橫跨多個數(shù)據(jù)源的全面可視性，而且使用警告分類和威脅搜尋的方式，來搜索數(shù)字資產(chǎn)中的未知威脅。憑借著大數(shù)據(jù)分析和人工智能(AI)，XDR能夠?qū)Πㄔ贫?、網(wǎng)絡(luò)和終端等環(huán)境，開展自動化的智能搜索、數(shù)據(jù)關(guān)聯(lián)、并提供各種豐富的屬性值。

在搜索威脅之前，XDR方案會分析所有數(shù)據(jù)源中實體、操作、用戶的各項行為。通過事先將此類信息予以關(guān)聯(lián)，以便創(chuàng)建一個被視為正常行為的基線。而有了基線之后，XDR技術(shù)會檢索各種異常行為，通過對其進行比對分析，讓分析師更有針對性地去查找威脅。

SOC通常會采用XDR技術(shù)，來發(fā)現(xiàn)威脅的來源點、以及當(dāng)前位置。同時，運營團隊也可以利用XDR，來簡化工作流程，并減少多任務(wù)處理的時間與復(fù)雜性。這里的多任務(wù)主要包括：事件調(diào)查和響應(yīng)、威脅搜尋、以及事件分類等。

零信任

零信任安全模型的基本原則是：網(wǎng)絡(luò)上的任何組件都是不可信任的。它會假設(shè)用戶帳戶和設(shè)備已經(jīng)被盜用，因此只能向任何用戶或設(shè)備授予盡可能少的權(quán)限，并且要不斷驗證身份。據(jù)此，零信任可以確保添加和實施更多的安全層面，以防止惡意行為者潛入網(wǎng)絡(luò)，同時也防止內(nèi)部人員執(zhí)行未經(jīng)授權(quán)的操作。

在零信任看來，內(nèi)部網(wǎng)絡(luò)與外部同樣容易受到威脅的入侵，因此需要提供同等的保護。因此，那些落地了零信任的組織，會實施物理和邏輯上的網(wǎng)絡(luò)分段技術(shù)，以確保網(wǎng)絡(luò)中的各個實體，只能連接到相關(guān)的資產(chǎn)上，而不能橫向移動到網(wǎng)絡(luò)的其他部分。在技術(shù)實現(xiàn)上，零信任網(wǎng)絡(luò)技術(shù)會對連接到公司系統(tǒng)的用戶、以及應(yīng)用程序和服務(wù)角色，進行強身份驗證，并使用一個策略引擎，來確定“在何種情況下，允許誰訪問哪些內(nèi)容”。

安全自動化、編排和響應(yīng) (Security Automation, Orchestration, and Response SOAR)

SOAR是一個通過使用一系列集成工具，來實現(xiàn)自動檢測和響應(yīng)警告的平臺。SOAR并非一個獨立的系統(tǒng)，而是可以有效地編排和利用那些部署在SOC內(nèi)部的其他系統(tǒng)。

SOAR通?？梢蕴峁┤缦鹿δ埽?/p>

• 傳統(tǒng)任務(wù)的自動化——包括漏洞掃描、日志查詢、新用戶配置、以及非活動帳戶配置的凍結(jié)等。
• 自動化響應(yīng)——SOAR會根據(jù)預(yù)定義的劇本(playbook)，按計劃自動響應(yīng)各種警告。
• 編排——通過集成和關(guān)聯(lián)多個安全工具的輸出，來自動分析各類安全事件。

可以說，SOAR不但可以使用自動化的劇本，來顯著地加快對于警告的響應(yīng)，而且還能夠確保安全分析師，不會在重復(fù)的手動任務(wù)上浪費時間，進而將其現(xiàn)有的分析技能用于更為復(fù)雜的威脅場景中。

區(qū)塊鏈網(wǎng)絡(luò)安全

由于區(qū)塊鏈技術(shù)能夠在交易的雙方之間建立真實的身份通信，也就是業(yè)界常提到的對等網(wǎng)絡(luò)(peer-to-peer network)設(shè)計，因此區(qū)塊鏈網(wǎng)絡(luò)安全已正日益得到重視與關(guān)注。在該模型中，區(qū)塊鏈中的每個成員都有責(zé)任驗證任何被添加的數(shù)據(jù)真實性。據(jù)此，它為數(shù)據(jù)創(chuàng)建了一個幾乎不可被滲透的網(wǎng)絡(luò)，從而提供了高度的安全性。

小結(jié)

通過綜合利用上述技術(shù)，SOC可以廣泛全面地檢測和響應(yīng)各種安全威脅。最后，讓我們總結(jié)一下SOC該如何有效地使用這些高級的安全工具：

• SIEM系統(tǒng)可以從整個組織中收集各類安全事件，并生成可操作性的警告。
• 威脅情報可以使用來自全球數(shù)百萬條安全事件的數(shù)據(jù)，來豐富組織對內(nèi)部事件的判斷力。
• Web應(yīng)用防火墻(WAF)為應(yīng)用程序流量提供了實時的安全層，可以通過設(shè)置策略和規(guī)則，來動態(tài)地應(yīng)用到各種流量模式上。
• 擴展檢測和響應(yīng)(XDR)支持針對橫跨IT環(huán)境多個部分的攻擊，以實現(xiàn)統(tǒng)一的可視性、檢測和響應(yīng)。
• 零信任能夠更加嚴格地管控企業(yè)網(wǎng)絡(luò)的內(nèi)部流量，并防止特權(quán)帳戶通過橫向移動構(gòu)成威脅。
• 安全自動化、編排和響應(yīng)(SOAR)可以定義一系列復(fù)雜的自動化活動，通過結(jié)合多種安全工具，對安全事件進行自動化的響應(yīng)。
• 區(qū)塊鏈網(wǎng)絡(luò)安全可以保護敏感數(shù)據(jù)，并讓這些數(shù)據(jù)對于攻擊者毫無用處。

原文標題：The SOC Technology Stack: XDR, SIEM, WAF, and More，作者：Eddie Segal

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】