想要成功應(yīng)對未來大規(guī)模檢測與響應(yīng)的需求，現(xiàn)代安全運營中心(SOC)團隊需要掌握五種必備技能，比如基本編程技能和威脅捕捉技能。

安全情況瞬息萬變，確保團隊擁有保護公司基礎(chǔ)設(shè)施和敏感數(shù)據(jù)所需的技能變得前所未有的重要。但總的來說，企業(yè)往往低估了網(wǎng)絡(luò)安全的重要性。安全運營中心(SOC)團隊通常人手不足，過度勞累，而且不受重視。而隨著威脅形勢的不斷發(fā)展，需要掌握新技能才能領(lǐng)先于網(wǎng)絡(luò)對手。

現(xiàn)代SOC團隊想要在未來大規(guī)模檢測和響應(yīng)中取得成功，需要掌握以下五項重要技能。

1. 基本編程技能

“萬物即代碼”，這種將應(yīng)用視為代碼的想法擴展到操作系統(tǒng)、網(wǎng)絡(luò)配置和管道的操作，已經(jīng)極大改變了安全團隊運營的方式和他們所需的技能。過去在SOC工作不需要編程技能，但如今SOC的工作中，編程技能必不可少。

“檢測即代碼”，這種使用軟件工程原理編寫檢測的現(xiàn)代化系統(tǒng)性方法，意味著團隊需要能夠創(chuàng)建自定義規(guī)則，可以在版本控制中正確測試、版本更新和以編程方式管理的那種。全功能編程語言具備靈活性和穩(wěn)健性，采用這種編程語言，團隊不僅能夠檢測簡單或復(fù)雜行為，還能執(zhí)行上下文獲取、豐富和全面呈現(xiàn)等其他操作。

安全團隊?wèi)?yīng)該通過解決面臨的現(xiàn)實問題(比如分析大量原始數(shù)據(jù))來學(xué)習(xí)軟件開發(fā)基礎(chǔ)。應(yīng)該首先編寫出能用的代碼，再回頭學(xué)習(xí)最佳實踐、單元測試和其他有助于良好代碼可持續(xù)性的技術(shù)。安全團隊還可以向企業(yè)內(nèi)各軟件團隊的成員學(xué)習(xí)，方便進行交叉培訓(xùn)?？梢詮慕忉屝哉Z言開始，例如Python或Ruby，這類編程語言不僅語法簡單，還做了性能權(quán)衡。

2. 云技術(shù)

可以說，幾乎所有現(xiàn)代技術(shù)公司都仰仗AWS或谷歌云等云服務(wù)。云服務(wù)繼續(xù)攀登基礎(chǔ)設(shè)施棧，持續(xù)簡化復(fù)雜的概念。在這個轉(zhuǎn)變過程中，安全團隊需要繼續(xù)收集相關(guān)數(shù)據(jù)集，做到隨時了解最新情況，并逐步培育嚴格的控制，防止意外數(shù)據(jù)暴露或系統(tǒng)暴露。

安全從業(yè)者可以從基礎(chǔ)服務(wù)學(xué)起，例如云存儲、云計算、身份與訪問管理等等。與編程學(xué)習(xí)一樣，可以通過解決現(xiàn)實問題入手，比如安全數(shù)據(jù)的存儲、處理和保留，或者通過強化公司現(xiàn)有基礎(chǔ)設(shè)施來切實掌握云技術(shù)。此外，還有很多參考架構(gòu)也可以作為非常有益的學(xué)習(xí)模型。

3. 安全日志管道

各個團隊都在用軟件即服務(wù)，而不是防火墻后面的內(nèi)部解決方案，也就是說，安全數(shù)據(jù)遍布于多個服務(wù)上，集中控制相對要少很多。Google Workspaces、Auth0、Okta、Duo、Jamf等工具的興起，催生了集中這些數(shù)據(jù)的需求。而問題在于，這些日志格式不同，所用API各異，用來驗證和收集數(shù)據(jù)的方法也不一樣。

安全團隊必須盡可能多地收集數(shù)據(jù)，好了解當(dāng)前情況，做好防御。他們必須采用rsyslog、vector、fluentd或logstash等工具建立內(nèi)部日志管道。安全團隊?wèi)?yīng)該熟悉這些工具的配置和擴展方法，還應(yīng)該了解怎樣把這些工具插入到云存儲和SIEM等其他系統(tǒng)中。

4. 攻擊者技術(shù)、戰(zhàn)術(shù)和程序(TTP)

深入了解最新攻擊者技術(shù)、戰(zhàn)術(shù)和程序(TTP)有助于安全團隊制定一系列堅實的檢測措施，管控好自身環(huán)境中的多條攻擊途徑。緊跟近期數(shù)據(jù)泄露事件可幫助團隊了解現(xiàn)代威脅模型和技術(shù)，避免自家公司陷入同樣的危險之中。勒索軟件攻擊的興起就是個很好的樣例。檢測應(yīng)該足夠高保真，不會產(chǎn)生太多警報，而通過使用編程語言，團隊可以測試和表達更復(fù)雜的攻擊。

5. 威脅捕捉

網(wǎng)絡(luò)對手越來越復(fù)雜高端，安全團隊必須采取更加主動的方式來發(fā)現(xiàn)自身云基礎(chǔ)設(shè)施中此前未知的威脅或未緩解的持續(xù)威脅。由于復(fù)雜的高級持續(xù)性威脅可以潛伏數(shù)周甚至數(shù)月之久，現(xiàn)代SOC團隊必須經(jīng)過培訓(xùn)，補充自動化系統(tǒng)的不足，并通過查找可疑活動模式來搜尋隱藏的惡意軟件或攻擊者。

安全團隊通常規(guī)模不大，人手不足，而且往往不精通DevOps或軟件工程。然而，大規(guī)模監(jiān)測需要這些技能。此外，安全從業(yè)人員需要了解如何使用系統(tǒng)檢測來獲取他們需要的數(shù)據(jù)，并構(gòu)建可靠、容錯且具有彈性的數(shù)據(jù)處理管道來處理這些數(shù)據(jù)。

從學(xué)習(xí)編程基礎(chǔ)到了解云基礎(chǔ)設(shè)施，安全從業(yè)人員應(yīng)當(dāng)升級自己的技能集了。各種系統(tǒng)面對的攻擊者確實是可怕的，但現(xiàn)代工具和經(jīng)驗豐富的安全人員可以應(yīng)對安全防護方面的挑戰(zhàn)。