安全运营中心(SOC)遇到的威胁将很快从传统的网络攻击转变为广泛的破坏性勒索软件攻击,甚至是复杂的民族国家攻击。在这种情况下,当前通过警报进行的分类和补救措施可能会失败。虽然警报是调查的良好起点,但它们无法帮助防御者有效地补救攻击的严重性、影响和传播。安全团队需要从孤立的警报队列转移到能够处理整个端到端攻击的事件。从基于警报的分类和修复系统转向围绕全面事件修复构建的系统具有巨大的优势,包括节省时间和资源,大大减轻安全团队的负担,并在零信任和防御的基础上全面加强安全-深度方法情况。事件视图使分析师能够立即了解全局并了解攻击的严重性和范围,这有助于SOC确定关键事件的优先级并制定明智的行动方案。它还显着减少了分析师队列中的工作项数量。相关性提供了活动是恶意活动的信心,因此可以更快、更轻松地对事件进行分类。确定事件中的一项活动是恶意的会导致将整个事件定为犯罪,这有助于消除误报事件。事件使分析师能够发现杀伤链中的“漏洞”,并通过使用MITREATT&CK知识库中的技术和策略映射事件中的警报来填补这些漏洞。例如,如果我们在事件中看到初始访问和横向移动活动,我们可以利用它来发现不足以触发警报的持久性、命令和控制以及凭据盗窃策略。我们可以通过执行路径自动回滚,找到初始入口点,然后前滚以揭示攻击的全部范围——这对于决定如何遏制威胁、击退攻击者和补救资产损失至关重要。由于我们根据事件而不是个别警报采取行动,因此SOC行动手册还可以解决整个事件。这消除了“追逐”单个警报的需要,并实现了不随每个新警报类型而改变的持久性更高级别的指导。随着事件的影响得到澄清,剧本现在可以清楚地识别、优先排序和协调遏制步骤,以一次性完全击退攻击者。最后,事件模型将所有受影响的资产收集到一个公共桶中,允许全面执行补救措施。随着威胁防护的发展,SOC需要调整和扩展其流程。现在采取四项行动开始这段旅程。1.从警报到事件的分类无论您的SOC使用SIEM还是XDR安全产品进行初始分类,请确保它在警报之上引发有意义的相关事件。根据对您很重要的参数确定事件队列的优先级,例如威胁的潜在风险、技术范围和杀伤链的进展,以及受影响资产的重要性。将您的SOC行动手册与网络钓鱼、勒索软件和广告软件等事件类别相匹配。对于每个事件类别,定义SOC分析师应该采取的行动,以快速了解事件是真正的威胁还是误报,并立即停止其发展。为根据阶段或技术调查单个事件警报提供指导。确保发现并捕获事件中的所有攻击者活动和受影响的资产——这构成了事件补救计划的基础。最后,在考虑了整个事件(包括所有受影响的资产和证据)之后,对受影响的资产采取补救措施以将其恢复到干净的运行状态。2.自动化以结构化和持久的方式将SOC的剧本映射到事件可以实现协调的流程自动化。某些事件类别可以完全自动处理并妥善解决,无需SOC的关注。对于其他事件,某些部分可能是自动化的(例如,初始分类、批量补救),而其他需要专业知识的部分仍然是手动的(例如,调查)。自动化应利用事件图来确定在何处以及如何协助分析师,从而节省重复性手动工作并让SOC能够专注于更复杂和高风险的事件。3.将团队聚集在一起花时间解释处理相关事件的好处以及这种方法如何改变防守者的比赛。探索MITREATT&CK框架并使用它来构建您的SOC剧本的事件指南,使其具有可扩展性和持久性。当新警报检测到渗透并将其映射到适当的策略或技术时,现有指南适用,不需要特殊警报或新指南。记录对先前案例采取的行动——集成到您的安全工具中——并使用此数据帮助分析师了解如何更好地处理新事件并随着时间的推移调整流程。将这些经验扩展到全行业的协作可以为组织和整个安全社区带来巨大的好处。4.购买前先试用寻找一种安全产品,使您的组织能够转向事件并支持此SOC流程的发展。它应该能够实现警报与事件的自动关联、优先级排序、事件分类,以及将您的SOC剧本映射到事件和警报级别的MITREATT&CK策略和技术的能力。不要忘记定制,每个组织都有自己的偏好和特殊流程。寻找根据您组织内和整个行业的事件历史整合行动建议的产品。
