安全运维中心(SOC)是一个自动化、高效的平台,已被众多企业作为安全运维的得力助手。但是,在SOC平台的运行过程中,难免会遇到一些困难。日前,ISACA网络研讨会顺利召开,会议的重点是安全运营中心的治理。本文将会议组织成问答形式,帮助企业获取SOC运营秘诀,了解SOC平台发展趋势。Q:SOC首先是一个团队,那么传统SOC和现代SOC有什么区别?A:不同的功能包括:威胁狩猎、威胁情报、数据分析等一些功能。这些在传统SOC中都不是很常见。Q:能否实现基于AI/AL的完全自动化,实现“观察-调整-决策-行动”的OODA循环?SOC可实现全自动化的板载日志来源、威胁检测规则的创建、PlayBook的创建和响应,自动集成和执行。A:从目前的现状来看,大部分SOC都无法在短时间内实现完全自动化。最麻烦的部分是在自动响应和其他行为的行为链的末端。此外,还有一些不确定性较高的情况,仍然需要人工处理。最后,一些棘手的遥测源的推出有时也需要手动迭代和调整配置。如今,自动化在检测(创建警报)和分类(丰富和确认警报)等领域很普遍,但在补救和数据载入方面则不那么普遍。我预计该领域不会很快发生任何重大变化,但随着企业采用更多公有云,这些领域的自动化自然会增长。问:SIEM和SOC有什么区别?A:SIEM是一种特殊的安全工具,而SOC是一个团队和他们使用的相关流程和工具(目前大多数SOC都包含SIEM)。这就是为什么我一听到SOC-as-a-service(安全运营即服务)总觉得有点奇怪。我个人更喜欢MDR这个词。问:如果我们不能将顶级攻击者赶出我们的网络,公司如何应对这种风险?A:我很难在这里提出规范性建议,因为这是一项艰巨的挑战,属于“自适应”领域。发生这种情况时,大多数组织求助于第三方事件响应团队来帮助他们进行调查并最终将攻击者赶出局。虽然听起来很悲观,但我们完全有可能遇到比自己队伍还强的攻击者(即使你的队伍已经很不错了)。在这种情况下,企业不得不寻求帮助。虽然这会产生成本,但无法避免。问:您是否认为有必要采用基于风险的方法来设计和管理现代SOC?答:在你的问题中,“基于风险”的含义是模糊的。目前,大多数运行中的SOC并不完全基于合规性法规中的固定检查表。在这种情况下,我遇到的大多数SOC至少在某种程度上是基于风险的。Q:怎样才能成为一名优秀的SOC?A:很难用几句话概括。但是我觉得不好的SOC是因为过分注重技术,对流程要求过高,而好的SOC是把操作的人放在第一位,然后才是流程和技术。问:您如何看待SOC中使用的AI工具?A:我从做分析师的时候就在想这个问题,到现在已经有很多年了。随着时间的推移,我也形成了自己的立场:唯一的办法是短期内对人工智能在安全领域的使用持怀疑态度,但长期看好。有很多供应商夸大其ML/AI工具如何帮助安全分析师解决问题。然而,正如人工智能在其他领域不断发展以帮助人类一样,网络安全领域的人工智能也需要不断发展。如今,您在SOC中最有可能遇到的基于机器学习的工具是某种形式的异常检测,例如UEBA工具或NDR。虽然这些工具很有效,但它们生成的警报通常很有用(就像常规的基于规则的警报一样)。但是,我很清楚今天的SOC中没有“网络AI”魔法。问:您对威胁猎手的技能要求是什么?A:这个问题很难回答,我在做分析师的时候就试着回答过这个问题。鉴于伟大的狩猎最终是一门艺术,但上述艺术家还需要一流的技术专家,因此很难定义这一技能组合。但可以肯定的是,威胁知识、深厚的IT技术知识和创造性思维都是必需的。问:小型公司/初创公司如何权衡人才、工具和成本?A:这是我做分析师时处理的另一个问题。众所周知,小公司会更多的使用第三方服务,也就是外包服务。有些企业根本没有SOC,而是依赖MSSP或MDR供应商。还有一些混合模式。当然,这有利也有弊。一个关键的隐患是:你不能认为你给了别人钱,人家就可以照顾你的安全。问:SOC即服务和本地SOC怎么样?您的建议是否适用于两者?答:如果您所说的SOC即服务是指利用MSSP或MDR提供商,那么网络研讨会中的一些建议是适用的。MSSP供应商可能会采用更传统的SOC方法,或者他们可能会使用此处讨论的现代SOC元素。但是,我遇到的许多MDR提供商都采用现代SOC方法。资料来源:媒体
