SOAR技术文章 【转载】构建安全运营中心的必备技术栈

sunc1252 · 2022年03月04日 · 919 次阅读

安全运营中心 (Security Operations Center,SOC) 主要负责维护、监控和保护组织中的信息系统和服务资源。作为一个情报中心,它能够实时收集在组织内部资产 (包括服务器、网络、以及终端等) 中流动的数据信息,并据此来识别安全事件,以及做出行之有效且及时的响应。

通常,SOC 会涉及到广泛的技术、流程、以及经验丰富的安全专家团队。而为了提高效率,SOC 经常会采用各种自动化的工具,来简化和支持团队的日常工作。例如,自动化的流程可以帮助他们识别出现有网络中的安全威胁,根据既定的风险标准和其他因素,来确定优先级,并按需给出相应的解决方法与建议。

归纳起来,SOC 的主要活动和职责包括:

网络监控——通过不断改进异常检测的能力,来提高针对各种数字活动的可视性。

预防技术——其实施目的是为了广泛地预防和阻止,那些已知和未知的风险。

威胁检测和情报——协助评估和确定每个安全事件的起源、严重性、以及影响程度。

主动事件响应和补救——通过自动化工具和人工干预来提供支持。

报告功能——确保所有事件和威胁都能够被及时地输入至数据存储库,以便后续分析。其报告内容将有助于让未来的响应能力更加及时与准确。

风险与合规性——确保执行和遵守各种来自政府和行业的法律与法规。

SOC 技术栈的基本组件 常言道,没有过硬的技术,SOC 将根本无法运营。下面让我们来讨论那些构成安全技术栈的关键工具。

安全信息和事件管理 (Security Information and Event Management,SIEM) SIEM 会自动聚合那些来自多个网络源的大量安全相关数据,并且对其进行分析与关联。它可以帮助您将各种日志数据和网络流量,整合到一个仪表板中,以便各个相关方便捷地使用这些信息。

SIEM 方案通常会带有内置的分析功能,可以让安全团队以数据可视化的方式,识别其发展趋势,并判定出可疑的模式。例如,通过收集和关联一系列来源的数据,SIEM 系统可以协助分析师从看似互不相关的活动和事件之间,识别出彼此的关系,进而发掘到潜在的攻击信号。

SIEM 平台的另一个优势在于,它们可以将数据整合到报告中。也就是说,SIEM 平台能够出于合规的目的,自动生成审计报告。这些报告通过展现当前组织内部的风险状况,以协助各个利益相关方 (包括不精通网络安全的高管、以及其他决策者) 理解组织的安全态势。

威胁情报 威胁情报平台可以与 SIEM 系统相集成,提供警告的上下文。如今,各个组织往往会用到一整套安全工具,而其中的每个工具都会生成各种警告。如前所述,SIEM 技术能够将各种工具生成的信息汇总起来。而威胁情报工具则会通过各种威胁向量、及其技术数据,让这些信息更加 “丰富”、且有根据。

可以说,将威胁情报与 SIEM 结合使用的主要优势就在于:安全运营团队能够确定警告的优先级,减少误报的数量,确保自动化的流程更加高效,以及用最短的时间去处置那些真正可疑的异常行为与攻击。

当然,除了对警告进行优先级排序之外,威胁情报团队还能够通过提供上下文信息,让分析师有针对性地评估和确定每个警告的真正内容与风险级别。实际上,分析师和其他利益相关者可以使用威胁情报平台,快速地确定警告的来源,识别受影响的系统和设备,进而发现威胁的类型。如有需要,分析师还可以快速地开展更深层次的调查,并追逐相关的恶意活动。

Web 应用程序防火墙 (WAF) WAF 旨在保护目标网络免受恶意流量的侵害。它通过参考 OWASP 十大安全漏洞、零日威胁、未知应用漏洞、和其他基于 Web 的威胁,及时有效地保护业务关键型 Web 应用,免受各种威胁的入侵。

虽然 WAF 有着多种类型,但是它们都有一个相似的目标——通过分析各种 HTTP 的交互,在恶意攻击抵达服务器之前,减少或消除这些恶意流量的准入。

与传统防火墙相比,WAF 能够更好地了解通过 HTTP 传输的各类敏感信息。也就是说,WAF 可以防范那些通常能够绕过传统网络防火墙的攻击。而其另一个关键优势在于:WAF 不需要更改应用程序的源代码,而是通过检测恶意流量,来阻挡黑客利用应用漏洞的各种可能。

扩展检测和响应 (eXtended Detection and Response,XDR) XDR 技术属于主动防御类型的安全技术栈。它不但提供了横跨多个数据源的全面可视性,而且使用警告分类和威胁搜寻的方式,来搜索数字资产中的未知威胁。凭借着大数据分析和人工智能 (AI),XDR 能够对包括云端、网络和终端等环境,开展自动化的智能搜索、数据关联、并提供各种丰富的属性值。

在搜索威胁之前,XDR 方案会分析所有数据源中实体、操作、用户的各项行为。通过事先将此类信息予以关联,以便创建一个被视为正常行为的基线。而有了基线之后,XDR 技术会检索各种异常行为,通过对其进行比对分析,让分析师更有针对性地去查找威胁。

SOC 通常会采用 XDR 技术,来发现威胁的来源点、以及当前位置。同时,运营团队也可以利用 XDR,来简化工作流程,并减少多任务处理的时间与复杂性。这里的多任务主要包括:事件调查和响应、威胁搜寻、以及事件分类等。

零信任 零信任安全模型的基本原则是:网络上的任何组件都是不可信任的。它会假设用户账户和设备已经被盗用,因此只能向任何用户或设备授予尽可能少的权限,并且要不断验证身份。据此,零信任可以确保添加和实施更多的安全层面,以防止恶意行为者潜入网络,同时也防止内部人员执行未经授权的操作。

在零信任看来,内部网络与外部同样容易受到威胁的入侵,因此需要提供同等的保护。因此,那些落地了零信任的组织,会实施物理和逻辑上的网络分段技术,以确保网络中的各个实体,只能连接到相关的资产上,而不能横向移动到网络的其他部分。在技术实现上,零信任网络技术会对连接到公司系统的用户、以及应用程序和服务角色,进行强身份验证,并使用一个策略引擎,来确定 “在何种情况下,允许谁访问哪些内容”。

安全自动化、编排和响应 (Security Automation, Orchestration, and Response SOAR) SOAR 是一个通过使用一系列集成工具,来实现自动检测和响应警告的平台。SOAR 并非一个独立的系统,而是可以有效地编排和利用那些部署在 SOC 内部的其他系统。

SOAR 通常可以提供如下功能:

传统任务的自动化——包括漏洞扫描、日志查询、新用户配置、以及非活动帐户配置的冻结等。

自动化响应——SOAR 会根据预定义的剧本 (playbook),按计划自动响应各种警告。

编排——通过集成和关联多个安全工具的输出,来自动分析各类安全事件。

可以说,SOAR 不但可以使用自动化的剧本,来显著地加快对于警告的响应,而且还能够确保安全分析师,不会再重复的手动任务上浪费时间,进而将其现有的分析技能用于更为复杂的威胁场景中。

区块链网络安全 由于区块链技术能够在交易的双方之间建立真实的身份通信,也就是业界常提到的对等网络 (peer-to-peer network) 设计,因此区块链网络安全已正日益得到重视与关注。在该模型中,区块链中的每个成员都有责任验证任何被添加的数据真实性。据此,它为数据创建了一个几乎不可被渗透的网络,从而提供了高度的安全性。

小结 通过综合利用上述技术,SOC 可以广泛全面地检测和响应各种安全威胁。最后,让我们总结一下 SOC 该如何有效地使用这些高级的安全工具:

SIEM 系统可以从整个组织中收集各类安全事件,并生成可操作性的警告。

威胁情报可以使用来自全球数百万条安全事件的数据,来丰富组织对内部事件的判断力。

Web 应用防火墙 (WAF) 为应用程序流量提供了实时的安全层,可以通过设置策略和规则,来动态地应用到各种流量模式上。

扩展检测和响应 (XDR) 支持针对横跨 IT 环境多个部分的攻击,以实现统一的可视性、检测和响应。

零信任能够更加严格地管控企业网络的内部流量,并防止特权账户通过横向移动构成威胁。

安全自动化、编排和响应 (SOAR) 可以定义一系列复杂的自动化活动,通过结合多种安全工具,对安全事件进行自动化的响应。

区块链网络安全可以保护敏感数据,并让这些数据对于攻击者毫无用处。

转载声明:本文转载至:https://baijiahao.baidu.com/s?id=1705047744126804213&wfr=spider&for=pc

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册