随着云计算、大数据、人工智能等新技术的融合、发展和应用,数字化转型已成为世界既定的发展方向,企业上云成为必然。然而,数字化转型不仅为企业带来更多创新高效的模式,也将企业信息安全管理难度提升到一个新的高度。当越来越多的资产上云并成为攻击目标时,传统的安全运营模式已经跟不上步伐。安全运营团队需要一种全新的运营模式来为企业业务在数字原生世界的发展保驾护航,也是数字时代预防、检测和应对安全威胁不可或缺的措施。安全运营离不开自动化的SOC,安全运营的转型自然绕不开SOC。与数字化转型类似,SOC自动化转型涉及思维文化、领导力投入、人员效率等多个层面。为进行深入研究,谷歌发布《自动化安全运营中心SOC建设指南》,从三个维度探讨未来自动化SOC的建设方向:SOC改造的意义、自动化安全运营的定义、自动化安全运营的具体实现方式。SOC是安全运营的核心点。早期的SOC被业界认为最适合为用户提供威胁检测和应急响应能力。因为它不仅涉及安全事件的采集、合并、关联分析,还提供对各种安全设备的配置和策略管理,提供安全设备之间的联动能力,可以满足安全运营持续维护和优化的目标.随着网络安全的不断发展,各种攻击手段和工具也在不断变化,SOC承担的目标也越来越多,逐渐成为安全运营的核心点之一。近年来,我国陆续出台了多项网络安全法律法规,企业合规要求日趋明确,SOC也开始逐步承担起合规监管的目标。就目前的情况来看,SOC的核心功能主要包括威胁检测、响应、基于上下文安全事件的反馈,以及其他根据企业/行业不同而不同的辅助功能,可以大大减少高度重复的人力劳动和低效率的任务。消耗。例如,SOC可以对各种多源异构数据源产生的信息进行收集、过滤、格式化、合并和存储,并提供模式匹配、风险分析、异常检测等能力,使用户能够监控整个系统的运行网络状态实时监控管理,各类资产(主机、服务器、IDS、IPS、WAF等)漏洞评估,各类安全事件分析、统计、关联,及时发布预警,提供快速响应能力。我们会发现,尽管SOC一直在发展壮大,但其本质作用并没有改变。它还以自动化的方式辅助安全人员更快、更准确地发现威胁,做好检测和响应工作。未来,随着网络攻击的自动化和复杂化,网络安全将更加依赖自动化,SOC所能发挥的价值也将更加明显。SOC转型的意义如前所述,当前SOC的本质作用没有改变,但其外部环境已经发生了很大变化。SOC建设又一次走到了十字路口。这时候,企业需要思考一个新的问题:未来10年,我们应该如何打造SOC?1.业务转型随着云计算的出现,现代计算架构变得更加复杂。通过规模经济,与前云时代相比,云提供商通过数字化转型推动企业的成本更高。然而,随着企业数字化转型的加速,越来越多的产品、业务和服务正在大规模上云。与此同时,威胁行为者和攻击者也以数字原住民为目标,大规模破坏、纯粹的经济利益、黑客行动主义、竞争情报和知识产权或地缘政治动机成为攻击者的目标和驱动力。这些都导致数字原生时代SOC面临的威胁检测范围和复杂度呈指数增长趋势,进一步加大了企业SOC管理的难度。2、在攻击面扩大后的疫情时代,疫情防控措施日趋严格,远程办公、学校远程教学需求进一步增加,并趋于常态化。各种实体对互联网的依赖呈指数级增长,以网络为中心的安全模型被以身份为中心的访问模型所取代。威胁建模仍然存在,而且比以往任何时候都更加重要。当DevOps团队构建、部署和管理这个新的基础架构堆栈时,SOC通常不了解云堆栈的工作原理,也没有太多时间在云中添加和构建深度。此外,网络安全风险进一步增加,并且正在扩展到传统SOC的范围之外,因为欺诈、身份盗窃和传统上由其他团体处理的威胁。传统方法无法检测出高度持久的新型安全威胁,需要依赖强大的威胁引擎和可靠的威胁情报。3、人才稀缺网络安全行业人才缺口不断扩大,企业对安全人才的需求与日俱增。由于网络安全是一个具有挑战性的行业,人才稀缺的问题不是简单地增加人手就能解决的。劳动效率和技术水平的效率更为重要。比如在安全运营团队中,SOC需要的人才类型是多种多样的,包括分析师、统计专家、数据科学家、事件响应人员、安全工程师等。未来随着SOC的转型,角色的类型也会越来越多。要求也会增加。进一步增加。更重要的是,安全团队是成本中心,而不是创收团队。出于成本衡量的考虑,企业会刻意压低安全团队的规模,因此大量增加安全人员数量几乎是不可能的。此外,网络安全工作无法具体量化,所涉及的风险也无法体现其在疫情爆发前的价值。这也导致在没有巨大的合规压力和事件驱动的情况下,企业更倾向于维持现状而不是继续增加。对安全团队的大量投资。人才的匮乏自然也让SOC团队面临着巨大的压力,这意味着他们没有多少时间来提升自己,进而进一步扩大了人才缺口。4、未来SOC为何需要转型随着新产业、新技术的不断涌现,新的计算设施栈和新的数据源也不断涌现。预计到2025年,全球50%的数据将存储在云端,其中包括当前SOC模型无法主动检测和响应的数据。新的计算实现栈也让攻击者发现了更多新的攻击方式。另一方面,企业供应链不断增长和复杂化,全球软件供应链风险急剧上升,隐藏在各种开源技术和库中的风险将成为企业发展的定时炸弹。因此,未来的SOC将不得不面临适应数据指数级增长、高持久性和不断扩大的攻击、无尽的人才流失等问题。显然,当前的SOC模型已经不能胜任,我们需要一种新的模型,让SOC摆脱僵化、孤岛、运营中心的现状,实现安全运维自动化,以应对无限变化的未来。自动化安全运营的定义自动化安全运营是哲学、实践和工具的组合,通过自适应、敏捷和高度自动化的威胁管理方法提高组织应对安全挑战的弹性。我们可以从以下四个维度进行指数级提升:10倍的人力、10倍的技术成熟度、10倍的流程效率、10倍的影响因素构建。1、10倍人力注意,10倍人力是指人员工作效率提高10倍,而不是人员增加10倍。在安全人才紧缺的今天,增加10倍的人员数量显然是不现实的。具体改进方法:分析师效率提高10倍,威胁资产覆盖率提高10倍,资源共享能力提高10倍。2.10倍流程效率鉴于不断变化的威胁形势、不断演变的攻击面和不断增加的安全警报,安全团队需要开发一种自适应方法来优化新的和现有的流程。在这个过程中,自动化将发挥巨大的作用。改进方法:进一步优化SOC流程的关键步骤,提高检测工具快速响应查询的效率,显着加快响应时间,以规则、算法、机器模型的形式创建检测逻辑;进一步减少SOC内部、SOC与其他组织之间的Workload和流程摩擦。3.10倍的技术成熟度。SOC中工具数量庞大,产品之间缺乏联动,严重降低了SOC的效率。即使具有高度差异化的能力和截然不同的意图,技术也需要促进更统一的方法。只有当技术开始在语义上更加了解它们的集成时,SOC工作流才能真正得到优化。提升方法:感知能力10倍,响应速度10倍,智能量10倍,TCO降低10倍。4.建立10倍的影响力建立一支极具影响力的安全运营专家团队将成为变革性SOC中最有价值的要素之一。同时需要完善的漏洞管理方案,以自动化方式完成漏洞发现、评估和修复工作。SOC还需要与其他关键团队保持密切联系,遵循一种同理心的方法来定制解决方案,大规模适应开发人员的需求,并最大限度地减少警报数量。实现自动化安全运行的具体方法SOC从纯人工操作向自动化安全运行转变是一个长期的过程。实现自动化和安全运行需要概念、实践和工具的结合。单一指标的提升并不能从根本上改变SOC的形态,系统改造主要靠人员、技术、流程和影响四个维度。1、人员转型的战术方法:培训分析师开发测试方法,聘请合伙人加强团队建设,为员工提供培训和获得相应资格证书的机会,尽可能保证员工工作与生活的平衡,提升员工'工作积极性。战略方针:工程师和分析师的灵活轮换、全面的入职和技能发展计划、外展机会、职业定位和领导力培训、改进的招聘计划以培养技能型人才和技能型员工。变革方式:联合员工实现跨组织风险协调,提高人才的可持续发展能力,构建可持续的晋升通道,增加员工参与度,让员工参与到会谈、演讲、会议等项目中。2.流程改造策略:完善告警分类,整合威胁情报,优化检测工程。战略方法:威胁警报的定期分类、改进的威胁情报、优化的具有上下文相关性的检测工程、自动警报分类过程。变革性方法:将威胁搜寻与检测工程相结合,创建威胁情报,采用SRE方法在SOC中自动化工作流程。3.技术转型的战术方法:增加SIEM的使用,将基于云的可见性纳入检测和相应用例,并使用上下文丰富产品信号。战略方针:将NDR、EDR、SOAR能力融入SIEM,覆盖云环境,匹配Mitre和技术信号,检测内容。变革方式:实现传感器的高度自动化融合,构建机器学习/人工智能检测更高层次的数据,尽可能与供应商/合作伙伴共同开发技术功能,优化技术TCO,节省人员和流程改进的预算.4.影响转化的战术方法:建立与项目所有者合作采取行动的流程,对团队进行威胁生命周期方面的培训和教育,并确保SOC与漏洞管理团队保持密切联系。战略方针:自动反馈机制,引入DevOps架构,通过告警自动恢复漏洞事件。变革性方法:自动执行响应操作以最大限度地减少对SOC的警报,使SOC与GRC合作伙伴保持一致,自动从技术信息到漏洞团队的反馈循环来修补零日和高优先级威胁向量。结论数字化转型是当今企业面临的一个重要问题。在数字化转型的过程中,每个企业都无法避免网络攻击的困扰。在这个过程中,SOC已经到了变革的转折点。而这次谷歌发布《自动化安全运营中心SOC建设指南》可以提供相应的指导和参考。当然,SOC的改造和建设不可能一蹴而就,但企业安全团队和领导者应该积极思考一个问题:如何推动组织变革,实现安全运维自动化的目标,不断提升检测和检测能力。应对数字威胁?保护企业数字原生资产不受侵害的能力。
