为了成功应对未来的大规模检测和响应需求,现代安全运营中心(SOC)团队需要掌握五项基本技能,例如基本的编程技能和威胁狩猎技能。安全形势瞬息万变,确保团队拥有保护企业基础设施和敏感数据所需的技能变得前所未有的重要。但总的来说,企业往往低估了网络安全的重要性。安全运营中心(SOC)团队通常人手不足、工作过度且不受重视。随着威胁形势的不断发展,需要新的技能才能领先于网络对手。以下是现代SOC团队需要掌握的五项关键技能,才能在未来的大规模检测和响应中取得成功。1.基本编程技能“一切皆代码”,将应用程序作为代码的思想扩展到操作系统、网络配置和管道的运行,极大地改变了安全团队的运作方式和他们所需的技能。过去,在SOC工作不需要编程技能,但现在在SOC工作中,编程技能是必不可少的。“检测即代码”是一种使用软件工程原理编写检测的现代系统方法,这意味着团队需要能够创建自定义规则,这些规则可以在版本控制中以编程方式进行适当的测试、版本控制和管理。凭借全功能编程语言的灵活性和健壮性,团队不仅可以检测简单或复杂的行为,还可以执行其他操作,例如上下文获取、丰富和完整渲染。安全团队应该通过解决他们面临的现实问题来学习软件开发的基础知识,例如分析大量原始数据。首先编写工作代码,然后回过头来学习最佳实践、单元测试和其他有助于良好代码可持续性的技术。安全团队还可以向整个企业的各种软件团队的成员学习,促进交叉培训。你可以从解释型语言入手,比如Python或Ruby,它们不仅语法简单,而且性能也有所取舍。2.云技术可以说,几乎所有的现代科技公司都依赖云服务,如AWS或谷歌云。云服务继续攀登基础设施堆栈,继续简化复杂的概念。在此过渡期间,安全团队需要继续收集相关数据集,随时了解情况,并逐步制定严格的控制措施,以防止意外的数据泄露或系统泄露。安全从业者可以借鉴基础服务,如云存储、云计算、身份和访问管理等。与学习编码一样,您可以从解决现实世界的问题开始,例如安全的数据存储、处理和保留,或者强化公司现有的基础设施以扎实地掌握云技术。此外,还有许多参考架构也可以作为非常有益的学习模型。3.安全日志管道团队正在使用软件即服务,而不是防火墙后面的内部解决方案,也就是说,安全数据分布在多个服务中,集中控制要少得多。GoogleWorkspaces、Auth0、Okta、Duo、Jamf等工具的兴起产生了集中这些数据的需求。问题是这些日志的格式不同,使用的API不同,验证和收集数据的方式也不同。安全团队必须收集尽可能多的数据,以了解当前情况并做好防御准备。他们必须使用rsyslog、vector、fluentd或logstash等工具来设置内部日志记录管道。安全团队应该熟悉如何配置和扩展这些工具,以及如何将它们插入其他系统,例如云存储和SIEM。4.攻击者技术、策略和程序(TTP)对最新的攻击者技术、策略和程序(TTP)的深入了解可以帮助安全团队开发一套可靠的检测方法来管理其环境中的多个攻击向量。跟上最近的数据泄露事件可以帮助团队在将自己的公司置于同样的危险之中之前了解现代威胁模型和技术。勒索软件攻击的兴起就是一个很好的例子。检测应该足够高保真,不会产生太多警报,并且通过使用编程语言,团队可以测试和表达更复杂的攻击。5.威胁搜寻随着网络对手变得越来越复杂,安全团队必须采取更主动的方法来发现以前未知的威胁或云基础设施中无法缓解的持续威胁。由于复杂的高级持续性威胁可能潜伏数周甚至数月,因此现代SOC团队必须接受培训以补充自动化系统并通过寻找可疑活动模式来寻找隐藏的恶意软件或攻击者。安全团队通常规模较小、人手不足,而且通常不精通DevOps或软件工程。但是,大规模监视需要这些技能。此外,安全从业者需要了解如何使用系统检测来获取他们需要的数据,并构建可靠、容错和有弹性的数据处理管道来处理这些数据。从学习编程基础知识到了解云基础设施,安全从业者是时候升级他们的技能了。任何系统的攻击者都非常强大,但现代工具和经验丰富的安全人员可以应对安全挑战。
