2

Google发布《SOC建设指南》,对未来SOC提出新思考

 2 years ago
source link: https://netsecurity.51cto.com/article/712038.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

随着云计算、大数据、人工智能等新技术的融发发展和应用,数字化转型已经成为全球既定的发展方向,企业上云也因此成为必选项。然而,数字化转型既给企业带来了更加创新和高效的模式,也将企业信息安全的管理难度推向了新的高度。

47d879192477c66667a84613d7b51a02722f2a.jpg

当越来越多的资产走向云端并成为攻击者的目标,传统安全运营模式已经无法跟上节奏。安全运营团队需要一个全新的运营模式,以便在数字原生世界保护企业业务的发展,也是数字化时代预防、检测与应对安全威胁必不可少的举措。

安全运营离不开自动化安全运营中心(SOC),对于安全运营的变革自然也绕不过SOC,与数字化转型类似,SOC自动化转型涉及思维文化、领导层的投资以及人员效率等多个层面。

64a155c75a277ec57d84149fa5c72ade857617.jpg

为了深入研究,Google发布《自动化安全运营中心SOC建设指南》,从SOC转型的意义、自动化安全运营的定义,以及实现自动化安全运营的具体方法三个维度探讨未来自动化SOC的建设方向。

SOC是安全运营的核心点

早期的SOC被业界认为最适合为用户提供威胁检测和应急响应能力。因为它不仅涉及安全事件的收集、归并和关联分析,同时还提供对各种安全设备的配置及策略管理,提供安全设备之间的联动能力,可以满足安全运营持续维护和优化的目标。

随着网络安全的不断发展,各类攻击方法和工具也在不断发生变化,SOC所承担的目标也在不断增加,逐渐成为安全运营的核心点之一。近年来,我国陆续出台了多部网络安全法律法规、企业合规需求越发清晰,SOC也开始逐步承担合规监控的目标。

b669d4039157b5a900d582b1019cc97e14d5c7.jpg

就目前来看,SOC的核心功能主要包括威胁检测、响应、基于上下文安全事件的反馈,以及因具体企业/行业而异的其他辅助性功能,可大大减少人力在高重复、低效率任务中的消耗。

例如,SOC能够对各种多源异构数据源产生的信息进行收集、过滤、格式化、 归并、存储,并提供了诸如模式匹配、 风险分析、异常检测等能力,使用户对整个网络的运行状态进行实时监控和管理,对各种资产(主机、服务器、IDS、IPS、WAF等)进行脆弱性评估,对各种安全事件进行分析、统计和关联,并及时发布预警,提供快速响应能力。

f199a5732169c32595c229c4f23bbd58775800.jpg

我们会发现,SOC虽然一直在不断成长和发展,但是其本质作用却没有发生变化,依旧是以自动化的方式辅助安全人员更快、更准的找到威胁,做好检测和响应。未来,随着网络攻击趋于自动化和复杂化,网络安全将更加依赖自动化,SOC所能展现的价值也将会更加明显。

SOC转型的意义

正如上文所说,目前SOC的本质作用并没有发生变化,但是其外部环境已经有了很大的不同。SOC建设再一次来了十字路口,此时企业需要思考一个新的问题:未来10年,我们究竟该如何建设SOC?

1、业务转型

随着云计算的出现,现代计算架构变得更加复杂。通过规模经济,云提供商推动企业进行数字化转型的成本高于前云时代。但是,随着企业数字化转型的加速进行,越来越多的产品、业务和服务正在大规模转至云上。

与此同时,威胁者和攻击者也将目标瞄准了数字原生,大规模破坏、纯粹财务收益、黑客行动主义、竞争情报和知识产权或地缘政治动机成为攻击者的目标和驱动力。

这些导致在数字原生时代,SOC所面临的威胁检测范围和复杂性呈现出指数级增长的趋势,也进一步增大了企业SOC的管理难度。

2、攻击面扩大

后疫情时代,疫情防控措施日渐严格,企业远程办公、学校远程授课的需求进一步增加,并向常态化转变,各类主体对互联网的依赖呈指数级增长,以网络为中心的安全模型被以身份为中心的访问模型所替代。

威胁建模仍然存在,且比以往任何时候都重要。虽然 DevOps 团队构建、部署和管理这个新的基础设施栈,但 SOC 通常不具备云技术栈如何工作的内在知识,且没有多少时间在云中增加和建立深度。

此外,网络安全风险进一步增加且正在扩展到传统的SOC的范围之外,适用于欺诈、身份盗窃和传统上由其他团队处理的威胁。传统方法无法检测到高度持续的新型安全威胁,需要依靠强大的威胁引擎与可靠的威胁情报。

3、人才稀缺

网络安全行业人才缺口正在持续扩大,企业对于安全人才的需求日益增长。由于网络安全是一个具有挑战的行业,导致人才稀缺的问题无法单纯依靠雇佣更多的人来解决,劳动率的效率及技术水平更为重要。

例如在安全运营团队中,SOC所需要的人才种类是多样的,其中包括分析师、统计专家、数据科学家、事件响应者、安全工程师等,未来随着SOC的转变,所需要的角色种类还将进一步增加。

更重要的是,安全团队是成本中心,而不是创收团队,出于成本衡量,企业会有目的压制安全团队规模,因此想要大量增加安全人员几乎不可能。再加上网络安全工作无法具体量化,其蕴含的风险在没有爆发之前无法体现出价值,这也导致在没有巨大的合规压力和事件驱动的前提下,企业更倾向维持现状,而不是继续加大对安全团队的投资。

人才稀缺自然也导致SOC团队面临着巨大的压力,也就意味着他们没有多少时间来提升自己,反过来进一步扩大了人才的缺口。

4、为何未来SOC需要转型

随着新产业、新技术的不断出现,新的计算设施栈和新的数据源也在不断出现。预计到2025年,全球 50% 的数据将会被存储在云上,其中包含了当前SOC模型无法主动检测和响应的数据。而新的计算实施栈也让攻击者发掘了更多新的攻击方法。

另一方面,企业供应链继续增长并变得更加复杂,全球软件供应链风险正在直线上升,各类开源技术和库中潜藏的风险将成为企业开发的定时炸弹。

因此,未来SOC将要满足适应指数级增长的数据、高度持续和不断扩大的攻击、与无止尽的人才流失等问题。很明显,当下的SOC模型无法胜任这一工作,我们需要一个新的模型,让SOC 摆脱僵化、孤岛和运营中心的现状,以自动化安全运营来应对无限变化的未来。

自动化安全运营的定义

自动化安全运营是理念、实践和工具的组合,可通过适应性、敏捷和高度自动化的威胁管理方法提高组织抵御安全挑战的能力。我们可以从以下4个维度进行指数级改进:10倍的人力、10倍的技术成熟度、10倍流程效率、10倍影响因素建设。

1、10倍人力

注意,10倍人力是指人员工作效率提升10倍,而非人员增加10倍,在安全人才匮乏的今天,想要增加10倍人员显然不现实。

具体改进方法:提升10倍分析师效率、10倍威胁资产覆盖率以及10倍资源共享能力。

2、10倍流程效率

鉴于威胁形势不断变化,攻击面不断演变,以及越来越的安全告警,安全团队需要开发一种自适应方法来优化新的和现有的流程。在这个过程中,自动化将发挥极大的作用。

改进方法:进一步优化SOC流程的关键步骤,提升检测工具快速响应查询效率,显着加快响应时间,通过规则、算法和机器模型的形式创建检测逻辑;进一步减少SOC内部,SOC与其他组织之间的工作量和流程摩擦。

3、10倍技术成熟度

SOC庞大的工具数量以及各产品之间缺乏联动严重降低了SOC的效率,即使具有高度差异化的能力和非常不同的意图,技术也需要推动更统一的方法。只有技术开始对其集成有更多的语义意识,SOC工作流程才能真正得到优化。

改进方法:10倍可感知能力、10倍响应速度、10倍的情报量、降低10倍TCO。

4、10倍影响力建设

建立一个极具影响力的安全运营专家团队将成为变革性 SOC 中最有价值的元素之一。同时还需要一个完善的漏洞管理计划,以自动化的方式完成漏洞发现、评估和修复的工作。SOC还需要和其他关键团队保持紧密联系,遵循同理心的方法定制解决方案,大规模适应开发人员需求,最大限度减少告警数量。

实现自动化安全的运营的具体方法

将SOC 从纯人工运营转变为自动化安全运营是一个长期的过程,实现自动化安全运营需要将理念、实践与工具相结合,单一指标的改进无法从本质上改变SOC形态,系统性的转型主要依赖人员、技术、流程与影响力四个维度。

1、人员转型

98c823a6730fe5851cb985cfd73d16b4fcb710.jpg

战术性方法:培养分析人员开发与检测的方法、雇用合作伙伴来增强团队建设、为员工提供培训及获取相应资质证书的机会、尽可能保证员工工作-生活相平衡以提升员工工作积极性。

战略性方法:灵活轮换工程师与分析师、提供全面的入职培训和技能发展计划、提供拓展机会、职业定位和领导力培训、改进招聘计划,以培养有技能的人才与有技能的员工。

转型性方法:联合工作人员实现跨组织范围的风险协同运作、完善人才的持续发展建设,建设可持续的晋升渠道、提升员工参与度,让员工参与会谈、演讲、会议等项目。

2、流程转型

55fe1dc148606d5368184389032ecc621d44bc.jpg

战术性方法:改进告警分类、融入威胁情报、优化检测工程。

战略性方法:对威胁告警进行定期分诊、改进威胁情报、利用上下文关联优化检测工程、自动化警报分类流程。

转型性方法:将威胁狩猎与探测工程相融合、创建威胁情报、采用SRE方法来自动化SOC中的工作流。

3、技术转型

a87aeef85005436770b762c9bcbc5f4b53ec69.jpg

战术性方法: 提升SIEM使用率、将基于云的可见性纳入检测与相应的使用情形中、利用上下文丰富产品信号。

战略性方法:在SIEM中融入NDR、EDR、融入SOAR能力、覆盖云环境、匹配Mitre与技术信号和检测内容。

转型性方法:实现传感器高度自动化融合、 构建机器学习/人工智能以更高阶地检测数据、尽可能与供应商/合作伙伴共同开发技术功能、优化技术TCO,为人员和流程改进节省预算。

4、影响力转型

c5f4a0a68da93594bef994eb2d28f978c6b275.jpg

战术性方法: 建立与项目所有者协作的流程,以便采取行动、就威胁的生命周期对团队进行培训和教育、确保SOC与漏洞管理团队保持紧密联系。

战略性方法: 自动化反馈机制、引入DevOps架构、通过警报自动还原漏洞事件。

转型性方法:自动执行响应操作以最大限度地减少对SOC的警报、联合SOC与GRC合作伙伴、自动执行从技术信息到漏洞团队的反馈循环,以修补零日和高优先级威胁向量。

数字化转型是当下企业面临的重要课题。在数字化转型过程中,每个企业都无法回避来自网络攻击的困扰。在这个过程中,SOC已经到了变革的转折点。而这份Google发布《自动化安全运营中心SOC建设指南》可提供相应的指导和参考。

当然,对于SOC的转型建设也并非一朝一夕就可完成,但是企业安全团队和负责人应该积极思考一个问题:我们该如何推动组织变革,以实现自动化安全运营的目标,不断提升检测和响应数字威胁的能力,保护企业数字原生资产不受侵害。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK