網路安全 安全運營
安全運營通常包含在 SOC(“安全運營中心”)中。術語可互換使用。
通常,SOC 的職責是檢測環境中的威脅,並阻止它們發展成代價高昂的問題。
SIEM(“安全資訊事件管理”)
大多數系統都會產生日誌,這些日誌通常包含重要的安全資訊。
事件就是我們可以從日誌和網路資訊中確定的觀察結果,例如:
- 使用者登入
- 網路中觀察到的攻擊
- 應用程式內的交易
事件是指我們認為會影響組織的負面事件。它可能是一種明確的威脅,也可能是潛在的威脅。SOC 應盡最大努力確定哪些事件可以被視為實際事件,並進行響應。
SIEM 根據來自網路中不同感測器和監控器的日誌來處理警報,每個感測器和監控器都可能產生 SOC 需要響應的重要警報。SIEM 還可以嘗試關聯多個事件來確定警報。
SIEM 通常允許分析以下區域的事件:
- 網路
- 安全託管
- 應用程式
來自網路的事件是最典型的,但價值最低,因為它們不包含事件發生的完整上下文。網路通常顯示誰與誰通訊,使用什麼協議,何時通訊,但沒有關於發生什麼、對誰以及為什麼發生的詳細資訊。
主機事件提供了有關實際發生情況和對誰發生的更多資訊。加密等挑戰不再模糊,對正在發生的事情有了更多的可見性。許多 SIEM 都透過有關主機本身發生情況的詳細資訊得到豐富,而不是僅僅來自網路。
來自應用程式的事件是 SOC 通常能最好地理解正在發生什麼的地方。這些事件提供了有關 Triple A、AAA(“身份驗證、授權和賬戶”)的資訊,包括有關應用程式效能以及使用者操作的詳細資訊。
要讓 SIEM 理解來自應用程式的事件,通常需要 SOC 團隊的工作來使 SIEM 理解這些事件,因為支援通常不包含在“開箱即用”的功能中。許多應用程式是組織專有的,SIEM 並不預先了解應用程式轉發的資料。
SOC 人員配置
SOC 的人員配置方式因組織的具體要求和結構而異。在本節中,我們將快速瞭解執行 SOC 所涉及的典型角色。潛在角色的概述。
與大多陣列織化團隊一樣,有一個職位負責領導部門。SOC 主管決定了應對組織威脅的策略和戰術。
SOC 架構師負責確保系統、平臺和整體架構能夠提供團隊成員履行其職責所需的功能。SOC 架構師將幫助構建跨多個數據點的關聯規則,並確保傳入資料符合平臺要求。
分析師主管負責開發和維護流程或劇本,以確保分析師能夠找到必要的資訊來判斷警報和潛在事件。
1 級分析師是警報的 first responder。他們的職責是在其能力範圍內,判斷警報並將其遇到的任何問題轉發給更高級別的分析師。
2 級分析師的特點是擁有更豐富的經驗和技術知識。他們還應確保將解決警報的任何問題轉發給分析師主管,以幫助 SOC 持續改進。2 級分析師與分析師主管一起,將事件升級給事件響應團隊。
IRT(“事件響應團隊”)是 SOC 團隊的自然延伸。IRT 團隊負責處理和解決影響組織的事件。
滲透測試人員理想情況下也應支援防禦。滲透測試人員對攻擊者的運作方式有深入的瞭解,可以幫助進行根本原因分析並瞭解駭客是如何發生的。合併攻擊和防禦團隊通常被稱為紫隊演練,被認為是最佳實踐操作。
升級鏈
某些警報需要立即採取行動。SOC 必須制定一個明確的流程,規定在發生不同事件時應聯絡誰。事件可能發生在許多不同的業務部門,SOC 應知道何時、與誰以及透過何種通訊方式聯絡。
影響組織一部分的事件的升級鏈示例
- 在指定的事件跟蹤系統中建立事件,並將其分配給正確的部門或個人。
- 如果部門/個人沒有直接採取行動:向主要聯絡人傳送簡訊和電子郵件。
- 如果仍然沒有直接行動:致電主要聯絡人。
- 如果仍然沒有直接行動:致電次要聯絡人。
事件分類
事件應根據其進行分類:
- 類別
- 關鍵性
- 敏感性
根據事件的分類及其歸因方式,SOC 可能會採取不同的措施來解決手頭的問題。
事件類別將決定如何響應。存在許多種類的事件,SOC 瞭解每種事件型別對組織意味著什麼非常重要。例如,列出了以下事件:
- 內部駭客攻擊
- 客戶端工作站上的惡意軟體
- 蠕蟲在網路中傳播
- 分散式拒絕服務攻擊
- 洩露的憑據
事件的關鍵性是根據受影響的系統數量、未阻止事件的潛在影響、涉及的系統以及其他許多因素來確定的。SOC 能夠準確地確定關鍵性,以便相應地關閉事件,這一點非常重要。關鍵性決定了事件應響應的速度。
是否應立即響應事件,還是團隊可以等到明天?
敏感性決定了誰應該被通知有關事件。某些事件需要高度謹慎。
SOAR(“安全編排、自動化和響應”)
為了對抗威脅行為者的進步,自動化是現代 SOC 足夠快速響應的關鍵。為了實現快速響應事件,SOC 應該擁有工具來自動編排解決方案,以響應環境中的威脅。
SOAR 策略意味著確保 SOC 可以利用可操作的資料來幫助緩解和阻止比以往任何時候都更即時的威脅。在傳統環境中,攻擊者從被入侵的那一刻到他們傳播到相鄰系統的時間非常短。與此相反,組織通常需要很長時間才能檢測到已進入其環境的威脅。SOAR 試圖幫助解決這個問題。
SOAR 包含諸如 IAC(“基礎設施即程式碼”)之類的概念,以幫助重建和修復威脅;SDN(“軟體定義網路”),以更流暢、更輕鬆地控制訪問,以及更多。
監控什麼?
事件可以跨許多不同的裝置收集,但我們如何確定要收集和監控什麼?我們希望日誌具有最高的質量。高保真度日誌,相關且能快速識別威脅行為者在我們的網路中。我們也希望讓攻擊者難以規避我們配置的警報。
如果我們檢視不同的方法來捕獲攻擊者,那麼我們應該關注什麼就變得顯而易見了。以下是我們可以用來檢測攻擊者的指標列表,以及攻擊者改變它們的難度。
| 指標 | 改變難度 |
|---|---|
| 檔案校驗和和雜湊 | 非常容易 |
| IP 地址 | 容易 |
| 域名 | 簡單 |
| 網路和主機工件 | 煩人 |
| 工具 | 具有挑戰性 |
| 戰術、技術和程式 | 困難 |
檔案校驗和和雜湊可用於識別已知的惡意軟體或攻擊者使用的工具。攻擊者更改這些簽名被認為是微不足道的,因為他們的程式碼可以被編碼並以多種不同的方式更改,從而改變校驗和和雜湊。
IP 地址也很容易更改。攻擊者可以使用來自其他受損主機的 IP 地址,或者直接使用各種雲和 VPS(“虛擬專用伺服器”)提供商中的 IP 地址。
域名也可以由攻擊者相當容易地重新配置。攻擊者可以配置受損系統使用 DGA(“域生成演算法”)來隨著時間的推移不斷使用新的 DNS 名稱。一週受損系統使用一個名稱,但下一週名稱會自動更改。
網路和主機工件更改起來更麻煩,因為這涉及到攻擊者的更多更改。他們的工具將留下簽名,例如 user-agent 或缺少 user-agent,SOC 可以捕獲這些簽名。
工具對攻擊者來說越來越難更改。不是工具的雜湊,而是工具在攻擊時如何行為和運作。工具會在日誌中留下痕跡,載入庫以及其他我們可以監控以檢測這些異常情況的東西。
如果防禦者能夠識別出威脅行為者使用的戰術、技術和程式,那麼攻擊者要達到他們的目標就會變得更加困難。例如,如果我們知道威脅行為者喜歡使用魚叉式網路釣魚,然後透過點對點方式樞軸到其他受害者系統,防禦者就可以利用這一點。防禦者可以將培訓重點放在可能遭受魚叉式網路釣魚的員工身上,並開始實施障礙來阻止點對點網路連線。
