安全运营中心(SOC)作为一种自动化的高效平台已被众多企业所采纳作为其安全运营的得力助手。但是,在SOC平台的运营过程中,却难免会遇见一些难题。前几日,ISACA网络研讨会成功举行,会议的重点即安全运营中心的治理。本文将会议整理为问答形式,帮助企业获得SOC运营的提示以及了解SOC平台的趋势。
A:区别的功能包括:威胁狩猎、威胁情报、数据分析以及一些别的功能。这些在传统的SOC中都不太常见。具体的可以看这篇论文章《SOC的未来:SOC的运营者——重要的是技能,而不是等级》。
A:以目前的现状来看,短时间内,大多数SOC无法实现完全自动化。最麻烦的部分是在自动响应和其他行为的行为链末端。此外,还有一些有高度不确定性的状况仍然需要人工手动处理。最后,一些棘手的遥测源的上线,有时也需要人工迭代和调整配置。
如今,自动化在检测自动化在检测(创建警报)和分流(充实和确认警报)等领域已经变得十分普遍,但在补救和数据上机方面却不尽如人意。我不指望这方面在短时间内会有任何大规模的变化,但随着企业采用更多的公共云,这些领域的自动化自然也会随之增长。
A:SIEM是一种特殊的安全工具,而SOC是一个团队,以及他们使用的相关流程和工具(对许多SOC来说,其中包含了一个SIEM)。这就是为什么当我听到 SOC-as-a-service(安全运营即服务)时,总是感到有点奇怪。我个人更喜欢MDR这个词。
A:在这里,我很难给出规范性的建议,因为这是一个艰巨的挑战,并且属于“随机应变”的领域。遇到这种情况,大多数组织会寻求帮助,来邀请第三方事件响应团队来协助他们调查,最终将攻击者赶出去。
虽然听上去有些悲观,但是完全有可能遇到比自己的团队更强的攻击者(即便你的团队已经很优秀)。在这种情况下,企业不得不寻求帮助。尽管这会产生成本,但却是无法避免的。
A:在你的问题里,"基于风险 "的意思较为模糊。目前,大多数正在运行的SOC并不完全是基于合规条例中的固定检查表而建立的。在这种情况下,我遇到的大多数SOC至少在某种程度上是基于风险的。
A:这很难用几句话来概括。不过,我认为一个糟糕的SOC是因为过度关注技术以及过度苛求流程,而一个优秀的SOC是把运营的人放在首位的,然后才是流程以及技术。
A:从我还是一个分析师的时候我就开始思考这个问题,到现在已经持续了很多年。随着事件的推移,我也有了自己的立场:唯一的办法是在短期内对AI用于安全领域持怀疑态度,但从长远来看持乐观态度。
自然,我们有很多供应商疯狂地夸大其词称他们的ML/AI工具如何帮助安全分析师解决问题。然而,正如人工智能在其他领域逐步发展去帮助人类一样,网络安全也不是例外。
今天,你在SOC中最有可能遇到的基于机器学习的工具是某种形式的异常检测,如UEBA工具或NDR。虽然这些工具是有效的,它们产生的警报往往是有用的(就像常规的基于规则的警报)。然而,我非常清楚,今天的SOC中还没有 "cyber AI "的魔力。
A:这个问题很难回答,我在做分析师的时候也曾试图回答这个问题。鉴于伟大的狩猎最终是一门艺术,但上述艺术家也需要成为顶级的技术专家,因此想要定义技能组合是非常困难的。不过可以肯定的是,威胁知识、深厚的IT技术知识和创造性思维都是必须具备的。
A:这是我在做分析师的时候处理的另一问题。众所周知,小公司将使用更多的第三方服务,即外包服务。有些企业根本就没有SOC,而是靠MSSP或MDR供应商。也有一些用的是混合模式。
当然,这也有其隐患和好处。一个关键的隐患就是:不能认为你给别人钱,他们就能把你的安全做好。
A:如果你所说的SOC即服务是指利用MSSP或MDR供应商,那么网络研讨会上的一些建议是适用的。MSSP供应商可能遵循更传统的SOC方法,也可能使用这里讨论的现代SOC要素。不过,我遇到的许多MDR提供商都采用现代SOC方法。
来源:medium