网络安全 安全运营
安全运营通常包含在 SOC ("安全运营中心") 中。这两个术语可以互换使用。
通常,SOC 的责任是检测环境中的威胁并阻止其发展成昂贵的问题。
SIEM ("安全信息事件管理")
大多数系统会生成日志,其中通常包含重要的安全信息。
事件只是我们可以从日志和网络信息中确定的观察结果,例如
- 用户登录
- 网络中观察到的攻击
- 应用程序中的交易
事件是可能对我们的组织造成负面影响的事件。它可能是一种明确的威胁,也可能是一种可能发生的威胁。SOC 应该尽最大努力确定哪些事件可以被认定为实际事件,这些事件应该得到响应。
SIEM 根据来自网络中不同传感器和监控器的日志处理警报,这些传感器和监控器可能会生成对 SOC 响应很重要的警报。SIEM 还可以尝试将多个事件相关联以确定警报。
SIEM 通常允许分析来自以下领域的信息
- 网络
- 主机
- 应用程序
来自网络的事件是最典型的,但价值最低,因为它们不包含发生事件的全部上下文。网络通常揭示了谁在哪里、通过哪些协议以及何时进行通信,但没有详细说明发生了什么、对谁以及为什么发生的。
主机事件提供了更多关于实际发生的事情和对谁发生的信息。加密等挑战不再模糊,并且可以获得对正在发生的事情的更多可见性。许多 SIEM 都增强了对主机本身发生的事件的详细描述,而不仅仅是从网络收集信息。
来自应用程序的事件是 SOC 通常可以最了解正在发生的事情的地方。这些事件提供了有关 Triple A ("身份验证、授权和记账") 的信息,包括有关应用程序的执行方式和用户正在执行的操作的详细信息。
为了让 SIEM 了解来自应用程序的事件,通常需要 SOC 团队进行工作,让 SIEM 理解这些事件,因为支持通常不包含在“开箱即用”中。许多应用程序是组织专有的,而 SIEM 并不了解应用程序转发的数据。
SOC 人员配备
SOC 的人员配备方式很大程度上取决于组织的需求和结构。在本节中,我们快速了解了与运营 SOC 相关的典型角色。潜在角色的概述
与大多数组织团队一样,会指定一个角色来领导部门。SOC 主管确定应对组织威胁的策略和战术。
SOC 架构师负责确保系统、平台和整体架构能够满足团队成员执行职责所需的条件。SOC 架构师将帮助在多个数据点之间建立关联规则,并确保传入数据符合平台要求。
分析师主管负责开发和维护流程或剧本,以确保分析师能够找到必要的信息来结束警报和潜在事件。
1 级分析师是警报的第一响应者。他们的职责是根据自己的能力结束警报,并将任何问题转交给更高级别的分析师。
2 级分析师以拥有更多经验和技术知识而著称。他们还应确保解决警报的任何问题都转交给分析师主管,以帮助持续改进 SOC。2 级分析师与分析师主管一起将事件升级到事件响应团队。
IRT ("事件响应团队") 是 SOC 团队的自然延伸。IRT 团队被部署来修复和解决影响组织的问题。
渗透测试人员理想情况下也支持防御。渗透测试人员精通攻击者的运作方式,可以帮助进行根本原因分析,了解入侵是如何发生的。合并攻击和防御团队通常被称为紫色团队,被认为是一种最佳实践操作。
升级链
有些警报需要立即采取行动。重要的是,SOC 必须定义一个流程,规定在发生不同事件时联系谁。事件可能发生在许多不同的业务部门中,SOC 应该知道联系谁、何时联系以及通过哪些通信媒介联系。
影响组织某一部分的事件的升级链示例
- 在指定的事件跟踪系统中创建一个事件,并将其分配给正确的部门或人员。
- 如果部门/人员没有采取直接行动:向主要联系人发送短信和电子邮件。
- 如果仍然没有采取直接行动:致电主要联系人。
- 如果仍然没有采取直接行动:致电次要联系人。
事件分类
事件应根据其
- 类别
- 严重程度
- 敏感度
根据事件的分类及其归属方式,SOC 可能会采取不同的措施来解决手头的問題。
事件的类别将决定如何响应。存在许多种事件,重要的是 SOC 了解每种事件类型对组织意味着什么。下面列出了示例事件。
- 内部攻击
- 客户端工作站上的恶意软件
- 蠕虫在网络中传播
- 分布式拒绝服务攻击
- 泄露的凭据
事件的严重程度是根据受影响的系统数量、不阻止事件的潜在影响、所涉及的系统以及许多其他因素来确定的。重要的是 SOC 能够准确地确定严重程度,以便能够相应地关闭事件。严重程度决定了事件应该多快得到响应。
事件应该立即得到响应,还是团队可以等到明天?
敏感度决定了应该通知谁有关事件。有些事件需要高度谨慎。
SOAR ("安全编排、自动化和响应")
为了应对威胁行为者的进步,自动化是现代 SOC 快速响应的关键。为了促进对事件的快速响应,SOC 应该拥有可用于自动编排解决方案来应对环境中威胁的工具。
SOAR 策略意味着确保 SOC 可以使用可操作数据来帮助缓解和阻止威胁,这些威胁比以前更实时地发展。在传统环境中,攻击者从入侵到传播到相邻系统的时间非常短。相反,组织通常需要很长时间才能检测到进入其环境的威胁。SOAR 试图帮助解决这个问题。
SOAR 包含 IAC "基础设施即代码" 等概念,以帮助重建和修复威胁。SDN ("软件定义网络") 可以更流畅、更容易地控制访问,以及更多其他功能。
监控什么?
事件可以从许多不同的设备中收集,但我们如何确定要收集和监控哪些内容?我们希望日志具有最高的质量。高保真日志既相关又具有识别性,以便快速阻止网络中的威胁行为者。我们还希望让攻击者难以绕过我们配置的警报。
如果我们看看捕获攻击者的不同方法,就会发现我们应该把重点放在哪里。以下列出了我们可以用来检测攻击者的可能指标,以及攻击者更改这些指标的难易程度。
| 指标 | 更改难度 |
|---|---|
| 文件校验和和哈希值 | 非常容易 |
| IP 地址 | 容易 |
| 域名 | 简单 |
| 网络和主机工件 | 令人讨厌 |
| 工具 | 具有挑战性 |
| 战术、技术和流程 | 困难 |
文件校验和和哈希值可用于识别已知的恶意软件片段或攻击者使用的工具。更改这些签名对于攻击者来说是微不足道的,因为他们的代码可以以多种不同的方式进行编码和更改,从而使校验和和哈希值发生变化。
IP 地址也很容易更改。攻击者可以使用来自其他受感染主机的 IP 地址,或者简单地使用不同云和 VPS ("虚拟专用服务器") 提供商中的 IP 地址。
攻击者也可以轻松地重新配置域名。攻击者可以配置受感染的系统使用 DGA ("域名生成算法"),随着时间的推移不断使用新的 DNS 名称。在一周内,受感染的系统使用一个名称,但下一周名称会自动更改。
更改网络和主机工件会比较麻烦,因为这需要攻击者进行更多更改。他们的工具将具有签名,例如用户代理或没有用户代理,这些签名可以被 SOC 捕获。
对于攻击者来说,工具越来越难更改。不是工具的哈希值,而是工具在攻击时如何表现和运行。工具将在日志中留下痕迹,加载库和其他内容,我们可以监控这些异常以检测它们。
如果防御者能够识别攻击者使用的战术、技术和程序,那么攻击者就更难实现他们的目标。例如,如果我们知道攻击者喜欢使用 spear-phishing 攻击,然后通过 peer-to-peer 方式横向移动到其他受害系统,防御者就可以利用这一点。防御者可以将培训重点放在 spear-phishing 攻击风险高的员工身上,并开始实施阻断 peer-to-peer 网络连接的措施。
