【51CTO.com快译】安全运营中心(Security Operations Center,SOC)主要负责维护、监控和保护组织中的信息系统和服务资源。作为一个情报中心,它能够实时收集在组织内部资产(包括服务器、网络、以及终端等)中流动的数据信息,并据此来识别安全事件,以及做出行之有效且及时的响应。
通常,SOC会涉及到广泛的技术、流程、以及经验丰富的安全专家团队。而为了提高效率,SOC经常会采用各种自动化的工具,来简化和支持团队的日常工作。例如,自动化的流程可以帮助他们识别出现有网络中的安全威胁,根据既定的风险标准和其他因素,来确定优先级,并按需给出相应的解决方法与建议。
归纳起来,SOC的主要活动和职责包括:
网络监控——通过不断改进异常检测的能力,来提高针对各种数字活动的可视性。
预防技术——其实施目的是为了广泛地预防和阻止,那些已知和未知的风险。
威胁检测和情报——协助评估和确定每个安全事件的起源、严重性、以及影响程度。
主动事件响应和补救——通过自动化工具和人工干预来提供支持。
报告功能——确保所有事件和威胁都能够被及时地输入至数据存储库,以便后续分析。其报告内容将有助于让未来的响应能力更加及时与准确。
风险与合规性——确保执行和遵守各种来自政府和行业的法律与法规。
SOC技术栈的基本组件
常言道,没有过硬的技术,SOC将根本无法运营。下面让我们来讨论那些构成安全技术栈的关键工具。
安全信息和事件管理(Security Information and Event Management,SIEM)
SIEM会自动聚合那些来自多个网络源的大量安全相关数据,并且对其进行分析与关联。它可以帮助您将各种日志数据和网络流量,整合到一个仪表板中,以便各个相关方便捷地使用这些信息。
SIEM方案通常会带有内置的分析功能,可以让安全团队以数据可视化的方式,识别其发展趋势,并判定出可疑的模式。例如,通过收集和关联一系列来源的数据,SIEM系统可以协助分析师从看似互不相关的活动和事件之间,识别出彼此的关系,进而发掘到潜在的攻击信号。
SIEM平台的另一个优势在于,它们可以将数据整合到报告中。也就是说,SIEM平台能够出于合规的目的,自动生成审计报告。这些报告通过展现当前组织内部的风险状况,以协助各个利益相关方(包括不精通网络安全的高管、以及其他决策者)理解组织的安全态势。
威胁情报
威胁情报平台可以与SIEM系统相集成,提供警告的上下文。如今,各个组织往往会用到一整套安全工具,而其中的每个工具都会生成各种警告。如前所述,SIEM技术能够将各种工具生成的信息汇总起来。而威胁情报工具则会通过各种威胁向量、及其技术数据,让这些信息更加“丰富”、且有根据。
可以说,将威胁情报与SIEM结合使用的主要优势就在于:安全运营团队能够确定警告的优先级,减少误报的数量,确保自动化的流程更加高效,以及用最短的时间去处置那些真正可疑的异常行为与攻击。
当然,除了对警告进行优先级排序之外,威胁情报团队还能够通过提供上下文信息,让分析师有针对性地评估和确定每个警告的真正内容与风险级别。实际上,分析师和其他利益相关者可以使用威胁情报平台,快速地确定警告的来源,识别受影响的系统和设备,进而发现威胁的类型。如有需要,分析师还可以快速地开展更深层次的调查,并追逐相关的恶意活动。
Web应用程序防火墙 (WAF)
WAF旨在保护目标网络免受恶意流量的侵害。它通过参考OWASP十大安全漏洞、零日威胁、未知应用漏洞、和其他基于Web的威胁,及时有效地保护业务关键型Web应用,免受各种威胁的入侵。
虽然WAF有着多种类型,但是它们都有一个相似的目标——通过分析各种HTTP的交互,在恶意攻击抵达服务器之前,减少或消除这些恶意流量的准入。
与传统防火墙相比,WAF能够更好地了解通过HTTP传输的各类敏感信息。也就是说,WAF可以防范那些通常能够绕过传统网络防火墙的攻击。而其另一个关键优势在于:WAF不需要更改应用程序的源代码,而是通过检测恶意流量,来阻挡黑客利用应用漏洞的各钟可能。
扩展检测和响应(eXtended Detection and Response,XDR)
XDR技术属于主动防御类型的安全技术栈(请参见--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-features-and-use-cases/)。它不但提供了横跨多个数据源的全面可视性,而且使用警告分类和威胁搜寻的方式,来搜索数字资产中的未知威胁。凭借着大数据分析和人工智能(AI),XDR能够对包括云端、网络和终端等环境,开展自动化的智能搜索、数据关联、并提供各种丰富的属性值。
在搜索威胁之前,XDR方案会分析所有数据源中实体、操作、用户的各项行为。通过事先将此类信息予以关联,以便创建一个被视为正常行为的基线。而有了基线之后,XDR技术会检索各种异常行为,通过对其进行比对分析,让分析师更有针对性地去查找威胁。
SOC通常会采用XDR技术,来发现威胁的来源点、以及当前位置。同时,运营团队也可以利用XDR,来简化工作流程,并减少多任务处理的时间与复杂性。这里的多任务主要包括:事件调查和响应、威胁搜寻、以及事件分类等。
零信任
零信任安全模型的基本原则是:网络上的任何组件都是不可信任的。它会假设用户帐户和设备已经被盗用,因此只能向任何用户或设备授予尽可能少的权限,并且要不断验证身份。据此,零信任可以确保添加和实施更多的安全层面,以防止恶意行为者潜入网络,同时也防止内部人员执行未经授权的操作。
在零信任看来,内部网络与外部同样容易受到威胁的入侵,因此需要提供同等的保护。因此,那些落地了零信任的组织,会实施物理和逻辑上的网络分段技术,以确保网络中的各个实体,只能连接到相关的资产上,而不能横向移动到网络的其他部分。在技术实现上,零信任网络技术会对连接到公司系统的用户、以及应用程序和服务角色,进行强身份验证,并使用一个策略引擎,来确定“在何种情况下,允许谁访问哪些内容”。
安全自动化、编排和响应 (Security Automation, Orchestration, and Response SOAR)
SOAR是一个通过使用一系列集成工具,来实现自动检测和响应警告的平台。SOAR并非一个独立的系统,而是可以有效地编排和利用那些部署在SOC内部的其他系统。
SOAR通常可以提供如下功能:
传统任务的自动化——包括漏洞扫描、日志查询、新用户配置、以及非活动帐户配置的冻结等。
自动化响应——SOAR会根据预定义的剧本(playbook),按计划自动响应各种警告。
编排——通过集成和关联多个安全工具的输出,来自动分析各类安全事件。
可以说,SOAR不但可以使用自动化的剧本,来显著地加快对于警告的响应,而且还能够确保安全分析师,不会在重复的手动任务上浪费时间,进而将其现有的分析技能用于更为复杂的威胁场景中。
区块链网络安全
由于区块链技术能够在交易的双方之间建立真实的身份通信,也就是业界常提到的对等网络(peer-to-peer network)设计,因此区块链网络安全已正日益得到重视与关注。在该模型中,区块链中的每个成员都有责任验证任何被添加的数据真实性。据此,它为数据创建了一个几乎不可被渗透的网络,从而提供了高度的安全性。
小结
通过综合利用上述技术,SOC可以广泛全面地检测和响应各种安全威胁。最后,让我们总结一下SOC该如何有效地使用这些高级的安全工具:
SIEM系统可以从整个组织中收集各类安全事件,并生成可操作性的警告。
威胁情报可以使用来自全球数百万条安全事件的数据,来丰富组织对内部事件的判断力。
Web应用防火墙(WAF)为应用程序流量提供了实时的安全层,可以通过设置策略和规则,来动态地应用到各种流量模式上。
扩展检测和响应(XDR)支持针对横跨IT环境多个部分的攻击,以实现统一的可视性、检测和响应。
零信任能够更加严格地管控企业网络的内部流量,并防止特权帐户通过横向移动构成威胁。
安全自动化、编排和响应(SOAR)可以定义一系列复杂的自动化活动,通过结合多种安全工具,对安全事件进行自动化的响应。
区块链网络安全可以保护敏感数据,并让这些数据对于攻击者毫无用处。
原文标题:The SOC Technology Stack: XDR, SIEM, WAF, and More,作者:Eddie Segal