by FatFish
on 4月 20, 2022

        这是一篇关于SOC的全面指南。

        我们将在这一篇章中和大家一起探讨以下一些问题:

  • 一个现代的SOC是什么样的:为什么组织要建立一个SOC以及这样做的目标是什么?

  • 什么是SecOps和DevSecOps:这些新实践是如何改变SOC的?

  • ……

前言

  • 一个现代的SOC是什么样的:为什么组织要建立一个SOC以及这样做的目标是什么?

  • 什么是SecOps和DevSecOps:这些新实践是如何改变SOC的?

  • SOC部署模型:包括新的模型,如分布式和虚拟SOC

  • SOC命令层次结构:Tier 1、Tier 2、Tier3 分析师和支持角色

  • SOC中使用的技术:从SIEM、GRC和IDS等传统工具,到NTA、EDR和UEBA等新开发工具

  • SOC运行过程:事件响应模型和SIEMs如何为SOC的运行提供动力及支持

什么是SOC

 信息安全运营中心(Information Security Operations Center,简称ISOC或SOC)是安全人员监控企业系统、防范安全漏洞、主动识别和降低安全风险的地方。

        过去,SOC通常被认为是非常重量级的基础设施,只有那些规模较大或非常注重安全的组织才会使用。但现在,有了新的协作工具和安全技术,许多较小的组织正在建立不需要专用设施的虚拟SOC,并且可以使用兼职的安全、操作和开发小组工作人员。许多组织正在建立托管的SOC或混合 SOC,这些SOC将内部人员与来自托管安全服务提供商(MSSP)的工具和专业知识结合起来。

构建SOC的动力 …

        SOC是组织安全成熟度的高级阶段。以下是促使公司采取这一措施的主要因素:

  • 相关标准的要求,如支付卡行业数据安全标准(PCI DSS)、政府法规或客户要求

  • 企业必须保护非常敏感的数据

  • 过去的安全漏洞和/或公众审查

  • 组织类型——例如,一个政府机构或财富500强公司几乎总是拥有一个SOC,甚至多个SOC的规模和威胁保障

SOC的重点领域

        SOC在组织中可以有几个不同的功能,这些功能可以相互组合在一起。下面是SOC的重点领域,在Exabeam对SOC进行调查中,每个重点领域都被赋予了重要级别。

SOC关注的领域

在美国SOC的重要程度

控制和数字取证——执行合规、渗透测试、漏洞测试

62%

监控和风险管理——从日志和安全系统中捕获事件,识别事件并作出响应

58%

网络和系统管理——管理安全系统和流程,如身份和访问管理、密钥管理、端点管理、防火墙管理等

48%

SOC的设施

        典型的安全运营中心是一个物理设施,它在网络安全和物理安全方面得到很好的保护。一般会是一个很大的房间,工作人员坐在办公桌前,面对着一面墙,屏幕上显示着安全统计数据、警报和正在发生事件的细节。但如今,也有些与众不同的soc看起来非常不同。例如,虚拟SOC (VSOC)并不是一个物理设施,而是一组安全专业人员以协调的方式一起工作,执行SOC的职责。

构建安全运营中心所面临的挑战

        构建SOC的安全团队面临几个共同的挑战:

  • 有限的可见性——一个集中的SOC并不总是能够访问所有的组织系统。这些可能包括端点、加密数据或由第三方控制的对安全性有影响的系统。

  • 白噪音——SOC接收到大量的数据,其中大部分对安全性无关紧要。通过机器学习和高级分析,SOC中使用的安全信息和事件管理(SIEM)和其他工具可以更好地消除噪音。

  • 误报和警报疲劳——SOC系统会产生大量警报,其中很多都不是真正的安全事件。误报可能会消耗安全分析师的大量时间,让他们更难发现真正的警报何时出现。

        这三个挑战都可以通过安全信息和事件管理(SIEM)系统来解决,该系统为现代soc的日常操作提供了动力。

SecOps是什么?

        SecOps是安全和IT操作团队之间的协作,其中安全和操作人员共同承担安全问题的所有权和责任。它是一套SOC流程、实践和工具,可以帮助组织更好地满足安全目标。

阶段

描述

SecOps

之前

        在过去,运营和安全团队有明确的目标。运营部门负责建立系统以实现正常运行时间和性能目标。安全性负责验证法规或遵从性需求的清单,关闭安全漏洞,并将防御置于适当位置。

在这种环境中,安全性是一种负担——被认为是降低操作速度和增加开销的东西。但在现实中,安全性是每个IT系统需求的一部分,就像正常运行时间、性能或基本功能一样。

SecOps

之后

        SecOps将操作和安全团队合并为一个组织。安全性是“左移”的——它不是在过程的末尾出现,而是在需求陈述和系统设计的开始就出现。不是让操作人员建立一个系统,然后让安全人员来保护它,而是一开始就将安全问题融入系统中。

 转向

DevSecOps

        在实施DevOps的组织中,SecOps还有其他的含义——将开发和运营团队加入到一个小组中,共同承担IT系统的责任。在这种环境下,SecOps涉及到更广泛的合作——安全、操作和软件开发团队之间的合作。这就是所谓的DevSecOps。它将安全性从开发迭代进一步转移到系统中。

SOC中的SecOps

        典型的安全运营中心与SecOps并不兼容——安全分析师坐在自己的房间里响应事件,而操作人员则在另一个房间里构建、运行IT系统。他们之间很少或根本没有沟通。然而,现代SOC可以培养一种SecOps心态:

  • 分析师可以不断地向操作人员报告组织系统面临的威胁和实际事件

  • 分析师可以主动寻找安全漏洞,并与运营部门合作消除这些漏洞

  • 运营可以通过SOC获得关于系统、组件、供应商等变化从而导致安全问题的指导

安全成熟图谱

        不同的组织在不同的阶段发展适合他们的安全环境。我们确定了安全成熟的各个阶段——在阶段4和5中,对安全运营中心的投资变得相关和值得。如下图:

SOC部署模型

       在组织中部署SOC的常见模型有以下几种:

名称

描述

专用SOC

经典SOC配有专用部门、专有全职工作人员,完全在内部进行24×7运营

分布式SOC

既有全职员工,也有兼职员工,一般在每个区域都实行8×5的工作方式

多功能SOC / NOC

配备专用团队的专用部门,同时执行网络操作中心(NOC)和SOC的功能

融合SOC

传统SOC结合了威胁情报、操作技术(OT)等新功能

命令式SOC/

全球式SOC

在全球范围内,协调企业中的其他soc,提供威胁情报、态势感知,并进行指导

虚拟SOC

没有专门的设施,团队成员一般都为兼职,通常在遇到高级别警报或安全事件时进行响应与行动。术语虚拟SOC作为术语,有时也用于MSSP或被托管的SOC中

托管 SOC / MSSP / MDR

许多组织正在转向管理安全服务提供商(MSSP),以外包的方式提供SOC服务。现代产品称为托管检测和响应(MDR)。受托管的SOC可完全外包,或与内部保安人员共同管理

SOC的工作人员

        安全运营中心具有明确升级路径的角色层次结构。Tier 1分析师接收并调查日常警告;一个真正的安全事件被提升到Tier 2分析师;业务关键事件则会引入Tier 3分析师,如有必要,还会配置SOC经理。具体角色分布可见下图:

SOC的工具

        没有技术,SOC无法运行。下面总结了一些现在安全运营中心所使用的传统的和下一代工具。

SOC传统工具

SOC下一代工具

  • 安全信息及事件管理(SIEM)

  • 治理、风险和合规(GRC)系统

  • 漏洞扫描器和渗透测试工具

  • 入侵检测系统(IDS)、入侵防御系统(IPS)和无线入侵防御

  • 防火墙、可作为IPS的下一代防火墙(NGFW)、WAF (Web Application firewall)

  • 日志管理系统(通常作为SIEM的一部分)

  • 网络威胁情报供应和数据库

  • 下一代SIEMs建立在一个大数据平台上,包括机器学习和高级行为分析、威胁搜索、内置事件响应和SOC自动化

  • 网络流量分析(NTA)和应用性能监控(APM)工具

  • 端点检测和响应(EDR),有助于检测和减轻主机和用户设备上的可疑活动

  • 用户和实体行为分析(UEBA),它使用机器学习来识别可疑的行为模式

安全信息及事件管理(SIEM)

        SOC的基础技术是SIEM系统,它汇集了来自整个组织安全工具的系统日志和事件。SIEM使用相关性和统计模型来识别可能构成安全事件的事件,提醒SOC人员注意这些事件,并提供上下文信息以协助调查。SIEM的作用相当于“一块玻璃”,使SOC能够监控企业系统。

防火墙、下一代防火墙(NFGW)和Web应用防火墙(WAF)

        防火墙是所有网络安全武器的标准组成部分。两项新技术正在补充或取代传统的Trewall:

  • NGFW——对Trewall进行扩展,为入侵防御和入侵检测提供深度支持。通过URL筛选、行为分析、地理位置筛选等技术,NGFW可以阻断网络边缘的威胁。它们使用反向代理来终止连接,并在连接到达web服务器之前检查内容。

  • WAF——WAF部署在web应用程序的前端,检查traXc并识别可能代表恶意活动的traXc模式。WAF可以通过学习可接受的url、参数和用户输入来检测攻击,同时最小化误报,并使用这些数据来识别偏离常规的traXc或输入。

        这些技术在现代SOC中被用来减少网站和web应用程序的攻击proTle,并收集有关攻击关键web属性的高质量traX数据。

端点检测与响应(EDR)

        EDR是一种新的工具,可以帮助SOC团队应对对终端(如用户工作站、移动电话、服务器或物联网设备)的攻击。这种工具是基于可能发生攻击的假设而构建的。SOC团队通常对远程端点上发生事件的可见性和控制权非常有限。EDR解决方案部署在端点上,提供关于恶意活动即时、准确的数据,并让SOC团队远程控制端点,以便攻击发生时可立即着手应对。

        例如,SOC团队可以使用EDR来识别50个受勒索软件感染的端点,将它们从网络中隔离,清除并重新映射这些设备。所有这一切都可以在几秒钟内完成,以便在袭击发生时识别它们,防止它们传播并消灭它们。

SOC监控工具 …

        监控是SOC中使用工具中的一个关键功能。SOC负责整个企业范围内对IT系统和用户帐户的监控,以及对安全工具本身的监控——例如,确保在所有组织系统上安装和更新反病毒软件。协调监视的主要工具是SIEM。组织使用许多专用的监视工具,如网络监视和应用程序性能监视(APM)。但是,出于安全目的,只有SIEM及其IT和安全数据的跨组织视图才能提供完整的监控解决方案。

SOC使用下一代工具的动机

下一代SIEM:有助于降低警报噪音,让分析师专注于重要的警报。新的分析功能,加上大量的安全数据,使得下一代SIEM能够发现单个安全工具无法发现的事件。

NTA:易于使用,擅长检测网络异常行为。当SOC能够访问正在调查的traXc,并且对已经在周边的攻击者的横向移动感兴趣时,这是非常有用的。

UEBA:使用机器学习和数据科学技术来检测恶意内部人员,或绕过安全控制的行为。UEBA使识别帐户泄露变得更加容易,无论是外部攻击者还是内部人员。

EDR:为工作站或服务器提供强大的防御,帮助管理移动劳动力。提供进行历史调查和追踪根本原因所需的数据。

SIEM促进SOC的实例 …

恶意软件调查

        SIEM可以帮助安全人员将整个组织中检测到的恶意软件的数据结合起来,将其与威胁情报联系起来,并帮助了解受影响的系统和数据。下一代SIEMs提供安全编排功能,事件时间表的可视化,甚至可以在威胁情报沙箱中自动“引爆”恶意软件。

网络钓鱼的预防和检测

        SIEM可以使用相关性和行为分析来确定用户是否点击了通过电子邮件或其他方式发布的网络钓鱼链接。当警报发出时,分析人员可以通过跨组织、跨时间轴使用类似搜索的方式,确定攻击的全部范围。

人力资源调查

        当一名员工被怀疑直接参与安全事故时,SIEM可以通过提取该员工与IT系统长期交互的所有数据来提供帮助。SIEM可以发现异常情况,比如在非正常时间登录公司系统、升级特权或移动大量数据等。

减轻离职员工风险

        根据Intermedia的一项研究,89%的离职员工至少保留了一部分公司系统的访问权限,并使用这些权限登录。SIEM可以找出大型组织中的问题,识别哪些系统有未使用的凭据,哪些前雇员正在访问系统,以及哪些敏感数据受到影响。

SOC的过程

SecOps和DevSecOps如何改变SOC

        安全运营中心流程过去与组织的其他部分完全隔离。开发人员构建系统,IT操作将运行系统,而安全性负责保护系统。如今大家都明白,将这三种功能合并到一个组织中——并对安全承担共同责任——可以提高安全性以及效率。

        以下是SOC将过程和开发与IT集成的几种方法:

  • 与DevOps成员一起创建分布式SOC——DevOps团队对IT系统有深入的了解,可以帮助他们进行事件响应,并可以从安全人员那里了解威胁和关键漏洞

  • 将威胁搜寻者与DevOps团队领导匹配——威胁搜寻者可以直接与开发或运维团队合作,从源头上弥补安全漏洞,而不是发现威胁并向上报告

  • 开放SOC以获取指导和建议——任何从事具有安全影响的工作的人都应该能够轻松地进入SOC,并咨询组织的顶级安全专家

  • 创建卓越的安全中心——SOC可以与选定的开发和运营小组合作,实施安全最佳实践,然后将这些成功经验展示给整个组织,以推广SecOps实践。

事件响应的基本模型

        虽然SOC正在经历转变并承担额外的角色,但它们的核心活动仍然是事件响应。SOC是组织单元,用于检测、遏制和减轻针对组织的网络攻击。负责事件响应的人员是Tier 1、Tier 2和Tier 3分析师,他们主要依赖的软件是SOC的安全信息和事件管理系统(SIEM)。

SOC的评估 …

        下面是一些重要的衡量标准,可以帮助理解SOC的活动规模,以及分析人员如何有效地处理工作。

        现代soc需要开发、操作和安全团队之间的合作和协作。日益复杂的基础设施和敏捷流程的速度需要,使安全团队自己无法实现的能力。

        有效的安全工具应该支持事件响应过程的所有步骤。关键是集中信息、提供快速分析和支持深入调查。

        指标可以帮助评估SOC过程的有效性,并确保将评估结果保留在过程中。

指标

定义

衡量对象

平均检测时间(MTTD)

SOC检测到事件所需的平均时间

SOC在处理重要警报和识别真实事件方面的效率

平均解决时间(MTTR)

SOC采取行动并消除威胁所需的平均时间

SOC在收集相关数据、协调应对措施和采取行动方面的效率

每月事件总数

SOC检测和处理的安全事件数量

安全环境的繁忙程度,以及SOC管理的行动规模

事件类型

将网络攻击、消耗(暴力/破坏)、电子邮件、设备丢失或被盗等事件数量按类型分

SOC管理的主要活动类型,以及应重点关注的安全预防措施

分析师的生产力

每个分析师处理的事件数量——Tier 1的警报、Tier 2的事件、Tier 3发现的威胁

分析人员如何在最大范围内有效地覆盖、应对警报和威胁

故障升级事件

进入SIEM的事件数量、警报报告、怀疑事件、确认事件、升级事件等

每一级的SOC的有效能力和不同分析小组的预期工作量

SOC的未来

        安全运营中心正在经历一场激动人心的变革。它正与行动和发展部门整合,并被强大的新技术赋予权力,同时保留其传统的指挥结构和角色——识别并响应关键的安全事件。

        前文展示了SIEM如何成为SOC的一项基础技术,以及下一代SIEM如何为安全分析师带来新的可能性,这些新技术包括行为分析、机器学习和SOC自动化等新功能。

        下一代SIEM对SOC的影响可能是显著的:

  • 减少警报误报——通过用户实体行为分析(UEBA),超越了相关规则,有助于减少误报和发现隐藏的威胁

  • 提升MTTD——通过帮助分析人员更快地发现事件并收集所有相关数据来进行改进

  • 提升MTTR——通过集成安全系统和利用安全编配、自动化和响应技术(SOAR)来进行改进

  • 进行威胁搜索——让分析人员能够快速、轻松地访问和强大地探索无限数量的安全数据

**参考来源:Exabeam,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

往期推荐

01

● 巨头凶猛,大微软的云原生SIEM——Microsoft Sentinel

► 点击阅读

02

● UEBA实践探索剪影之一

► 点击阅读

03

● UEBA用户实体行为分析,安全可视性的下一步

► 点击阅读

云纷(上海)信息科技有限公司

专注于安全运营与管理

长按二维码关注我们

点击右下角,让我知道你在看哟~

Share this content:

Categories:

cyber securitySIEMSOC

Tags:

No Tag

Comments are closed