网络安全 安全运营
安全运营通常包含在 SOC(“安全运营中心”)中。术语可互换使用。
通常,SOC 的职责是检测环境中的威胁,并阻止它们发展成代价高昂的问题。
SIEM(“安全信息事件管理”)
大多数系统都会产生日志,这些日志通常包含重要的安全信息。
事件就是我们可以从日志和网络信息中确定的观察结果,例如:
- 用户登录
- 网络中观察到的攻击
- 应用程序内的交易
事件是指我们认为会影响组织的负面事件。它可能是一种明确的威胁,也可能是潜在的威胁。SOC 应尽最大努力确定哪些事件可以被视为实际事件,并进行响应。
SIEM 根据来自网络中不同传感器和监控器的日志来处理警报,每个传感器和监控器都可能产生 SOC 需要响应的重要警报。SIEM 还可以尝试关联多个事件来确定警报。
SIEM 通常允许分析以下区域的事件:
- 网络
- 安全托管
- 应用程序
来自网络的事件是最典型的,但价值最低,因为它们不包含事件发生的完整上下文。网络通常显示谁与谁通信,使用什么协议,何时通信,但没有关于发生什么、对谁以及为什么发生的详细信息。
主机事件提供了有关实际发生情况和对谁发生的更多信息。加密等挑战不再模糊,对正在发生的事情有了更多的可见性。许多 SIEM 都通过有关主机本身发生情况的详细信息得到丰富,而不是仅仅来自网络。
来自应用程序的事件是 SOC 通常能最好地理解正在发生什么的地方。这些事件提供了有关 Triple A、AAA(“身份验证、授权和账户”)的信息,包括有关应用程序性能以及用户操作的详细信息。
要让 SIEM 理解来自应用程序的事件,通常需要 SOC 团队的工作来使 SIEM 理解这些事件,因为支持通常不包含在“开箱即用”的功能中。许多应用程序是组织专有的,SIEM 并不预先了解应用程序转发的数据。
SOC 人员配置
SOC 的人员配置方式因组织的具体要求和结构而异。在本节中,我们将快速了解运行 SOC 所涉及的典型角色。潜在角色的概述。
与大多数组织化团队一样,有一个职位负责领导部门。SOC 主管决定了应对组织威胁的策略和战术。
SOC 架构师负责确保系统、平台和整体架构能够提供团队成员履行其职责所需的功能。SOC 架构师将帮助构建跨多个数据点的关联规则,并确保传入数据符合平台要求。
分析师主管负责开发和维护流程或剧本,以确保分析师能够找到必要的信息来判断警报和潜在事件。
1 级分析师是警报的 first responder。他们的职责是在其能力范围内,判断警报并将其遇到的任何问题转发给更高级别的分析师。
2 级分析师的特点是拥有更丰富的经验和技术知识。他们还应确保将解决警报的任何问题转发给分析师主管,以帮助 SOC 持续改进。2 级分析师与分析师主管一起,将事件升级给事件响应团队。
IRT(“事件响应团队”)是 SOC 团队的自然延伸。IRT 团队负责处理和解决影响组织的事件。
渗透测试人员理想情况下也应支持防御。渗透测试人员对攻击者的运作方式有深入的了解,可以帮助进行根本原因分析并了解黑客是如何发生的。合并攻击和防御团队通常被称为紫队演练,被认为是最佳实践操作。
升级链
某些警报需要立即采取行动。SOC 必须制定一个明确的流程,规定在发生不同事件时应联系谁。事件可能发生在许多不同的业务部门,SOC 应知道何时、与谁以及通过何种通信方式联系。
影响组织一部分的事件的升级链示例
- 在指定的事件跟踪系统中创建事件,并将其分配给正确的部门或个人。
- 如果部门/个人没有直接采取行动:向主要联系人发送短信和电子邮件。
- 如果仍然没有直接行动:致电主要联系人。
- 如果仍然没有直接行动:致电次要联系人。
事件分类
事件应根据其进行分类:
- 类别
- 关键性
- 敏感性
根据事件的分类及其归因方式,SOC 可能会采取不同的措施来解决手头的问题。
事件类别将决定如何响应。存在许多种类的事件,SOC 了解每种事件类型对组织意味着什么非常重要。例如,列出了以下事件:
- 内部黑客攻击
- 客户端工作站上的恶意软件
- 蠕虫在网络中传播
- 分布式拒绝服务攻击
- 泄露的凭据
事件的关键性是根据受影响的系统数量、未阻止事件的潜在影响、涉及的系统以及其他许多因素来确定的。SOC 能够准确地确定关键性,以便相应地关闭事件,这一点非常重要。关键性决定了事件应响应的速度。
是否应立即响应事件,还是团队可以等到明天?
敏感性决定了谁应该被通知有关事件。某些事件需要高度谨慎。
SOAR(“安全编排、自动化和响应”)
为了对抗威胁行为者的进步,自动化是现代 SOC 足够快速响应的关键。为了实现快速响应事件,SOC 应该拥有工具来自动编排解决方案,以响应环境中的威胁。
SOAR 策略意味着确保 SOC 可以利用可操作的数据来帮助缓解和阻止比以往任何时候都更实时的威胁。在传统环境中,攻击者从被入侵的那一刻到他们传播到相邻系统的时间非常短。与此相反,组织通常需要很长时间才能检测到已进入其环境的威胁。SOAR 试图帮助解决这个问题。
SOAR 包含诸如 IAC(“基础设施即代码”)之类的概念,以帮助重建和修复威胁;SDN(“软件定义网络”),以更流畅、更轻松地控制访问,以及更多。
监控什么?
事件可以跨许多不同的设备收集,但我们如何确定要收集和监控什么?我们希望日志具有最高的质量。高保真度日志,相关且能快速识别威胁行为者在我们的网络中。我们也希望让攻击者难以规避我们配置的警报。
如果我们查看不同的方法来捕获攻击者,那么我们应该关注什么就变得显而易见了。以下是我们可以用来检测攻击者的指标列表,以及攻击者改变它们的难度。
指标 | 改变难度 |
---|---|
文件校验和和哈希 | 非常容易 |
IP 地址 | 容易 |
域名 | 简单 |
网络和主机工件 | 烦人 |
工具 | 具有挑战性 |
战术、技术和程序 | 困难 |
文件校验和和哈希可用于识别已知的恶意软件或攻击者使用的工具。攻击者更改这些签名被认为是微不足道的,因为他们的代码可以被编码并以多种不同的方式更改,从而改变校验和和哈希。
IP 地址也很容易更改。攻击者可以使用来自其他受损主机的 IP 地址,或者直接使用各种云和 VPS(“虚拟专用服务器”)提供商中的 IP 地址。
域名也可以由攻击者相当容易地重新配置。攻击者可以配置受损系统使用 DGA(“域生成算法”)来随着时间的推移不断使用新的 DNS 名称。一周受损系统使用一个名称,但下一周名称会自动更改。
网络和主机工件更改起来更麻烦,因为这涉及到攻击者的更多更改。他们的工具将留下签名,例如 user-agent 或缺少 user-agent,SOC 可以捕获这些签名。
工具对攻击者来说越来越难更改。不是工具的哈希,而是工具在攻击时如何行为和运作。工具会在日志中留下痕迹,加载库以及其他我们可以监控以检测这些异常情况的东西。
如果防御者能够识别出威胁行为者使用的战术、技术和程序,那么攻击者要达到他们的目标就会变得更加困难。例如,如果我们知道威胁行为者喜欢使用鱼叉式网络钓鱼,然后通过点对点方式枢轴到其他受害者系统,防御者就可以利用这一点。防御者可以将培训重点放在可能遭受鱼叉式网络钓鱼的员工身上,并开始实施障碍来阻止点对点网络连接。