功夫:2022-12-06

本文6386字阅读约需18分钟
网络安全威胁正变得日益复杂,,,,,组织日趋缜密且资金充分。。。。。人为智能(AI)工具和技术的宽泛选取将导致定造化的、高影响力的网络攻击。。。。。应对此类攻击的复杂性和精密化必要充分授权的安全运营中心(SOC)。。。。。
安全运营中心是包容网络安全专业人员的设施,,,,,掌管实时监测和调查安全事务,,,,,利用人员、流程和技术的组合来预防、发现和应对网络威胁。。。。。
安全运营中心掌管监测和保;;;;ぷ橹淖什,,,,,蕴含知识产权、保密/人员数据、业务系统、关键基础设施和品牌名誉,,,,,使其免受网络安全威胁。。。。。安全运营中心是组织的眼睛和耳朵,,,,,当可疑或异常的网络安全事务产生时发出警报,,,,,其能迅速作出反映,,,,,以削减对组织的影响。。。。。由于安全事务的不利影响,,,,,组织在寻找步骤来改善安全运营中心,,,,,以降低风险敞口,,,,,并守护资产和数据安全。。。。。
相识安全运营中心的演变并进行成功构建,,,,,能够大幅加强检测和粉碎网络攻击的能力,,,,,保;;;;ぷ橹馐苤猩恕!。。。
安全运营中心的演变
在从前,,,,,传统网络运营中心(NOC)将沉点放在意表事务和响应上,,,,,以可用性为重要指标。。。。。NOC的重要职责是网络设备治理和机能监测。。。。。
如图1所示,,,,,最初,,,,,安全运营中心是为当局和国防组织执行的。。。。。早期安全运营中心的重要职责蕴含处置病毒警报、检测入侵和应对意表事务。。。。。2000年后,,,,,大型企业和银行起头执行类似的监测业务。。。。。

信息安全治理尺度颁布于2005年,,,,,合规被参与至安全运营中心的指标钟祝。。。。动态数据包过滤防火墙、反垃圾邮件和缝隙治理以及入侵预防被增长到监测和响应钟祝。。。。
2007年至2013年是安全运营中心进化的黄金时期。。。。。很多对安全监控至关沉要的关键安全解决规划,,,,,如数据泄漏预防(DLP)和安全信息与事务治理(SIEM),,,,,都是在这个时期进入网络安全生态系统的。。。。。在此期间,,,,,高级持续性威胁(APTs)的数量起头急剧增长,,,,,在2010年至2011年增长了81%。。。。。而安全运营中心在检测和预防这些威胁方面阐扬了重要作用。。。。。日志汇总、监管合规、恶意软件分析和DLP是那个时期安全运营的重要指标。。。。。
针对IT和安全运营的治理型安全服务提供商(MSSPs)应运而生。。。。。作为一种共享模式,,,,,治理型安全服务并非专门为单个组织或实体服务。。。。。MSSPs最初由大型企业选取,,,,,而后最终被感兴致的中幼型组织选取,,,,,以满足其组织安全运营的要求。。。。。
在安全运营中心的发展过程中,,,,,下一代SIEM进入了安全生态系统和运营之旅。。。。。SIEM也被称为用户行为分析(UEBA),,,,,它基于人为智能(AI)的子集机械进建(ML)。。。。。
企业在现有的SIEM技术上部署UEBA,,,,,以削减误报。。。。。SIEM是一种基于规定的技术,,,,,其在为规定设置的逻辑和阈值之上工作。。。。。阈值参数是SIEM技术的重要挑战,,,,,由于不成能维持阈值盛开超过几个幼时。。。。。若是阈值盛开功夫过长,,,,,那么SIEM的机能将大大降低。。。。。自从移动技术的出现,,,,,自带设备(BYOD)和云的选取,,,,,身份鉴别和接见权限是安全治理的主题组成部门。。。。。UEBA/用户行为分析(UBA)技术使用身份鉴别和接见权限来界说正常和异常的用户和实体行为。。。。。
由威胁谍报、逆向工程和基于AI/ML的监控技术驱动的安全运营已经扭转了下一代安全运营中心。。。。。;;;;旌闲桶踩擞行--由MSSP在客户的场地上部署和运营--在这一时期出现了。。。。。;;;;旌习踩擞行囊脖怀莆冻贪踩擞行摹!。。。
2015年,,,,,威胁谍报平台(TIPs)、开源谍报(OSINT)和贸易威胁谍报反馈成为安全运维的主题组成部门。。。。。威胁谍报丰硕了事务的布景,,,,,并援手安全分析人员做出决策。。。。。威胁谍报还有助于相识敌手的战术、行为、工具和法式。。。。。;;;;谡绞酢⒓际鹾头ㄊ(TTPs)的威胁搜索通过早期发现和建复暗藏威胁,,,,,为安全运营中心增长了更多价值。。。。。
云迁徙就起头于这段功夫,,,,,诸如云接见安全经纪人(CASBs)在内的云安全解决规划进入了安全市场,,,,,为IT和安全社区的影子IT和影子数据带来了曙光。。。。。安全运营中心的监测职责已扩大至蕴含云,,,,,复杂威胁也在这段功夫中增长。。。。。云安全态势治理(CSPM)、云工作负载保;;;;て教ǎ–WPP)、基于云的端点检测和响应以及基于云的搜索是现代安全运营所增长的新职能。。。。。
网络防御中心(CDC)、网络融合中心(CFC)、网络安全运营中心(CSOC)、网络安全事务响应幼组(CSIRT)和结合运营中心(JOC)是2015年后为安全运营中心创造的新名称。。。。。安全运营之路始于被动防御,,,,,而后转向自动防御,,,,,此刻选取自动化伎俩的自动防御阶段。。。。。
很快,,,,,50%以上的安全运营中心将被迁徙到集成了自动威胁搜索和事务响应职能的现代网络防御中心(CDC)。。。。。尚未踏上安全运营中心之路的组织能够从MSSP起头,,,,,而后转向混合安全运营中心模式,,,,,最终达到自己的成熟安全运营中心。。。。。现代网络防御中心(CDC)或网络融合中心(CFC)提供以下服务:
安全事务监测、检测、调查、分流
恶意软件分析、反向工程、数字取证、内部威胁、网络诓骗
威胁谍报平台治理
威胁搜索
内容治理
威胁和缝隙治理
合规
汇报和通知
培训
身份和接见治理
安全运营中心的挑战
误报是安全运营中心面对的最大挑战(图2);;;;;50%以上的安全运营中心分析人员的工作被分配用于处置误报。。。。。日志源的整合、开箱即用的用例和未经验证的规定是造成误报的重要原因。。。。。不足事务的布景和基于阈值的关联规定是安全分析师面对的挑战。。。。。自从整合AI/ML监控解决规划以来,,,,,基于阈值的关联规定已被转化为ML模型。。。。。这种威胁谍报的整合解决了短缺布景的问题。。。。。

随着功夫的推移,,,,,孤立的解决规划被增长至安全运营中心监测中,,,,,安全分析师不得不在多个节造台之间切换以应对事务。。。。。在短功夫内对人们进行多种技术培训是不成能的。。。。。纪录和更新安全事务操作手册/运行手册以及守护最新的知识库必要耗费大量经历,,,,,但对于任何安全运营中心都是关键。。。。。
多点解决规划增长了安全分析员的事务数量。。。。。沉复性工作和警报委顿是安全分析员脱离安全运营岗位的重要原因。。。。。
默认情况下,,,,,传统的SIEM解决规划和下一代SIEM解决规划不具备推算事务的均匀检测功夫(MTTD)和均匀响应功夫(MTTR)的职能。。。。。必要手动操作能力实现这些类型的推算和指标。。。。。
疫情发作后的安全运营中心挑战
如图3所示,,,,,大盛行和远程工作都带来了网络安全挑战。。。。。

1.合作——通常情况下,,,,,安全运营团队会在一个安全的处所荟萃,,,,,有专门的系统、监督器和网络,,,,,能够轻松合作,,,,,当面应对高级威胁。。。。。自从新冠肺炎大盛行起头,,,,,合作成为挑战,,,,,而虚构合作工具和作战室是现有的最佳解决规划。。。。。
2.SecOps工具——分析师必须通过远程接见应对缓和解威胁。。。。。接见专门的SecOps工具是另一个重要挑战,,,,,由于必须启用多成分身份验证和安全性。。。。。
3.系统设计——安全运营中心分析师通常使用宽屏双显示器和定造硬件工作。。。。。在疫情之后,,,,,安全运营中心分析师正面对着用笔记本电脑实现同样出产力的挑战。。。。。
4.安全运营团队的健全——这对任何组织都至关沉要。。。。。企业辅导人必须关注他们的安全运营中心团队的健全,,,,,以持续匹敌当前和将来出现的威胁。。。。。
5.独立的虚构专用网络(VPNs)——对关键的SOC系统执行代替性VPN接见是必要克服的最新挑战,,,,,以便在基础设施被粉碎的情况下允许向下兼容的机造。。。。。
6.新的威胁——双沉诓骗勒索软件、使用人为智能技术的网络垂钓、勒索散布式回绝服务(DDoS)攻击和特权接见攻击等威胁为SOC团队带来了新的挑战。。。。。守护安全通讯渠路和安全运营技术的独立VPN是必要克服的最新挑战。。。。。
7.安全通讯——通常情况下,,,,,安全运营中心分析师进行面对面的沟通。。。。。在在家工作的模式下,,,,,通报工件、证据和屏幕截图已成为挑战。。。。。
8.远程SecOps——安全运营中心是物理站点,,,,,不能齐全用虚构环境包办。。。。。
构建有效安全运营中心的战术
在人员、流程和先进的下一代技术的援手下,,,,,组织能够利用至少的资源和功夫从安全运营中心中获益(图4)。。。。。构建一个有效的安全运营中心必要相识组织的需要以及其局限性。。。。。一旦相识了组织的需要和局限性,,,,,以下的最佳实际将援手组织在预算领域内利用正确的工具和技术构建有效的安全运营中心。。。。。

一致地执行治理赞助
首席信息安全官(CISO)或首席信息官(CIO)应鉴定安全运营中心的领域,,,,,并持续监控项主张施前进度。。。。。执行治理层必须对预算进行审查并做出决定,,,,,蕴含选择相宜的工具和技术以及提供的安全运营中心服务。。。。。CISO/CIO和安全运营中心架构团队必须凭据成本、内部和表部技术资源的可用性以及监管和合规要求,,,,,决定是否执行内部治理的安全运营中心、MSSP或混合安全运营中心(图1)。。。。。
选择相宜的人
成立有效的安全运营中心蕴含多个阶段:打算、设计、建设、运营、丈量和优化。。。。。每个阶段都必要一套分歧的能力和技术,,,,,蕴含差距评估、安全运营中心设计、基础设施设计、设施治理、电气工程、网络工程、SIEM工程、事务响应工作流程、缝隙治理、事务关联和数据分析、操作手册开发和自动化、技术集成、安全风险治理、恶意软件分析、入侵检测和响应、身份和接见分析、安全分析、威胁谍报、威胁搜索和取证。。。。。
成立SOC组织结构、领导委员会和治理团队
这通常是执行SOC项主张第一步。。。。。领导委员会审查项目执行的进展情况,,,,,并向执行治理层提供最新信息。。。。。领导委员会应该有来自IT、安全工程、事务响应、风险治理、数据隐衷、各业务部门和人力资源的辅导。。。。。治理团队和领导委员会必须决定并纪录SOC所提供的服务,,,,,以及从安全风险角度对组织的益处。。。。。
人员、流程和技术的整合
必须对安全运营中心组件进行评估,,,,,以改进安全运营中心的服务和成熟度(图4)。。。。。目前有各类安全运营中心成熟度评估模型,,,,,蕴含CREST和SOC-CMM,,,,,能够凭据组织的需要选择最佳规划。。。。。安全运营中心组件评估的主张是相识SOC是若何治理威胁微风险的,,,,,以及安全运营中心战术是若何与业务战术维持一致的。。。。。评估中发现的差距应被用于提高SOC组件的有效性和成熟度。。。。。
安全协调自动化和响应(SOAR)解决规划2017年后进入了安全运营中心领域,,,,,解决了此前的诸多挑战。。。。。多点解决规划与威胁谍报、沉复性工作的端到端自动化、事务响应、操作手册/运营手册的动态更新、布景信息丰硕化、MTTD、MTTR推算和事务优先化的协调编排,,,,,使安全分析变得越发容易。。。。。
缝隙攻击模拟和网络安全靶场!。。。ㄍ4)是现代安全运营中心的新能力。。。。。网络安全靶场援手安全运营中心培训安全分析师,,,,,通过模拟网络安全演习来匹敌复杂的威胁。。。。。粉碎性攻击模拟(BAS)技术援手安全分析员和其辅导相识在不滋扰出产基础设施的情况下针对最新威胁所执行的安全管控措施的有效性。。。。。BAS还能够援手首席信息安全官(CISO)优化和论证各类安全管控措施的安全投资。。。。。
用例开发和分析取决于有关数据的网络网络
来自各类日志源的事务日志、来自网络设备的网络流量和来自深度数据包检测解决规划的网络数据包,,,,,并对其进行汇总、沉复数据删除和分析,,,,,以进行安全监测。。。。。在执行之前,,,,,工程团队应该从安全运营中心领导委员会那里得到以下问题的答案,,,,,以削减误报。。。。。
哪些设备和技术必要被监控??????
必须天生和网络哪些日志事务
应该提出哪些安全警报??????
凭据安全运营中心的指标以及合规性和监管要求,,,,,应若何、在何处以及以何衷斓率从各类日志源网络日志??????
误报是所有安全运营中心的重要挑战(图2),,,,,它们能够通过网络有关可操作数据和丰硕基于有关可操作威胁谍报的布景信息来预防。。。。。在为安全运营中心开发用例之前,,,,,必须执行用例开发框架。。。。。对于确定用于安全监测的所有效例,,,,,以下内容必须纪录为用例开发的一部门(图5)。。。。。

用例的指标、主张和对象
该用例将解决的威胁
利益有关者及其在用例和事务响应工作流程中的角色和责任
要关联的数据源
检测威胁的有关规定/数据模型的逻辑和语法
语法和逻辑的验证/测试
基于风险和影响的警报的优先级
响应措施/缓解措施/作为事务响应的一部门应遵循的步骤
安全运营从被动到自动的蹊径这是处置急剧变动的威胁面的关键:凭据预先确定的指标,,,,,自动分析利用法式、基础设施和网络威胁,,,,,并造订对策,,,,,以预防攻击和减轻侵害。。。。。缝隙筹备评估能够援手鉴别安全架构中的盲点并部署安全管控措施。。。。??????赡艿墓セ髡咛氐恪⒆羁赡艿墓セ髟靥搴凸セ髡咦钕胍淖什羌鹜胁的关键。。。。。网络威胁谍报是安全运营的关键推动成分,,,,,为整个组织的决策和行动提供必要的布景。。。。。结构优良的网络威胁谍报为利益有关者服务。。。。。网络威胁谍报与现有流程和基础设施的集成有助于更深刻地相识组织网络之表产生的情况,,,,,给组织基础设施带来最大风险的网络威胁从而能够清澈可见。。。。。
威胁狩猎是作为高级的安全分析过程,,,,,它利用对网络或组织的深刻相识来捕获更荫蔽、更深刻的攻击者。。。。。威胁狩猎为防御者提供工具,,,,,通过积极寻找异常和可疑行为来缩幼差距。。。。。防御者能够在威胁反馈出现之前鉴别TTP的变动。。。。。威胁谍报和威胁搜索职能的存在是为了加强组织中的其他团队。。。。。因而,,,,,威胁谍报和狩猎团队必须纳入相识主题业务、运营工作流程、网络基础设施、风险情况和供给链以及技术基础设施和软件的人员。。。。。
对端点的自动监测是至关沉要的,,,,,由于端点是大无数入侵行动的起头和实现之地。。。。。若是定期使用端点检测和响应(EDR)职能来捕获未经过滤的数据并进行持续监测,,,,,则是极度有效的。。。。。
XDR:SOC下一步??????
拓展检测和响应(XDR)以及IT、OT、ICS的集成可能是安全运营中心演化的下一个方向。。。。。XDR是从目前的被动威胁检测和响应解决规划演变而来,,,,,集成了安全技术信号,,,,,以跨身份、端点、云和网络提取威胁事务。。。。。XDR的职能蕴含身份分析、网络分析、综合威胁谍报、基于AI/ML的检测,,,,,以及自动和协调的调查响应。。。。。
XDR将扭转安全运营中心的运作方式,,,,,在以下方面为安全分析师提供支持:
实现自动化和编排的调查,,,,,以削减检测和分流的功夫。。。。。
揭示本原分析,,,,,并通过跨表表的关联获得非凡的态势感知。。。。。
追踪多个系统组件的威胁。。。。。
提高检测和响应速度。。。。。
解除整合和守护日志源所需的工作。。。。。
通过基于云的大数据湖增长可扩大的存储和推算。。。。。
提高安全运营中心的出产力。。。。。
造作业已经加快了数字化转型,,,,,以实显熹流程的自动化并在市场上拥有竞争力。。。。。OT被用于治理诸如在造作业中发现的那些工业操作。。。。。这延长覆盖至ICSs和ICS治理框架以及监督节造和数据采集系统(SCADA)。。。。。
OT和ICS网络依赖数字系统来进行日常运作。。。。。OT/ICS的衔接增长,,,,,将导致针对OT/ICS网络的网络安全威胁增长。。。。。通过将OT与IT融合,,,,,造作企业以前使用的孤立的受保;;;;は低炒丝桃裁娑宰磐ǔU攵訧T系统的同样类型的安全威胁。。。。。针对OT/ICS网络最常见的网络攻击是和谈缝隙攻击、数据泄漏、远程接见木马、勒索软件、僵尸攻击和散布式回绝服务(DDoS)攻击。。。。。
要治理针对IT/OT系统和网络的复杂网络威胁,,,,,极度必要IT和OT安全运营中心的整合。。。。。占有OT和ICS作为其基础设施一部门的组织将可能实现对OT系统的安全监测。。。。。OTSOC能够与ITSOC融合。。。。。IT、SecOps和OT团队之间的合作对于IT/OTSOC的成功整合至关沉要。。。。。在团队之间成立沟通和信赖对于创造牢固的合作同伴关系极度关键。。。。。IT/OT安全运营中心的整合将通过以下方式保;;;;T系统:
持续发现资产和行为分析(设备类型、网络行为、活动监测)。。。。。
缝隙性命周期治理和配置合规性
对OT/ICS/SCADA系统进行持续监测,,,,,以发现网络威胁并作出反映
应对接见异常情况
深度数据包查抄
针对OT/ICS的威胁谍报
总结
固然网络安全专业人员面对的威胁不休演变和扩散,,,,,但必须跟踪新出现的威胁并调整新的意识状态来应对这些威胁,,,,,蕴含发展安全运营中心。。。。。这蕴含大盛行病的影响和必须选取的技术来克服它,,,,,这样生理上的病毒就不会耗尽安全运营中心的人际互动。。。。。随着网络犯罪分子和民族国度赞助的攻击者提议越来越复杂的攻击,,,,,以窃取敏感数据和粉碎业务,,,,,安全运营中心是专门的前列团队,,,,,维持24/7/365的频率工作,,,,,以阻止这些威胁。。。。。
在当今的数字化经济中,,,,,安全运营中心对所有类型和规模的组织都至关沉要,,,,,由于一个组织的很多业务和敏感数据都在网上和云钟祝。。。。为了进攻网络犯罪分子,,,,,必要选取现代的安全运营中心运营方式,,,,,关键的最佳实际如下:
成立安全运营中心治理、衡量尺度和汇报机造。。。。。
通过造订人才战术、使用有关技术和创造好奇心文化,,,,,投资于成立占有相宜人才的安全运营中心。。。。。
部署AI/ML系统和全面的威胁谍报,,,,,以自动执行高度沉复和单调的工作。。。。。
相识硬件/软件/网络/IOT/OT资产,,,,,并凭据优先级持续缓解缝隙和配置谬误。。。。。
确保整个组织网络的持续可见性。。。。。
通过威胁搜索、缝隙攻击模拟,,,,,成立自动的事务检测和补救措施。。。。。
对峙使用网络靶场和模拟解决规划对安全运营中心分析员进行现实知识培训。。。。。
利用网络安全评估和安全运营中心成熟度评估,,,,,不休测试和更新安全运营中心检测/预防战术。。。。。
与IT部门和业务部门合作,,,,,使安全运营中心战术与业务战术维持一致。。。。。
不休地调整和批改网络安全防御措施。。。。。(本文译自www.isaca.org/)