SOAR技术文章 【转载】SOAR 在企业安全运营体系的定位

jokerface · 2020年11月09日 · 1594 次阅读

企业和组织安全人员的日常工作主要分为安全运维和安全运营两部分,安全运维的主要工作是保证整个大安全系统能够稳定并按照预期的安全策略正常工作。

而安全运营主要是针对于黑客攻击对网络和业务系统发起攻击时,协同联动大安全系统的各个组件的让其在对抗环境中能够发挥其效能

两者的区别在于安全运维是保证其可用性,而安全运营是保证其对抗性,并在对抗中优化安全防护体系

安全运营的核心内容是围绕威胁管理的检测、研判、溯源和响应 4 个阶段展开工作,目前大部分甲方的安全建设和乙方产品的重心都是以检测为核心,近几年安全的热点产品都是为了发现更多的黑客攻击,而安全检测类设备往往受其部署位置和技术实现机制限制导致产生大量低质量的告警信息,而告警信息里一部分已经被防御设备阻断了,根本无需关注,另一部分是需要其他设备的数据作为佐证才能判断告警的真实性,而检测设备能够直接给出准确的告警占到了不到 10%。即便是这 10% 的告警信息,要完整的描述其攻击过程和影响面也是需要大量的其他数据来做支撑。

原本 SIEM 的诞生是为了解决以上问题的,但是发展了很多年经历了几代的演变,其焦点还是在于发现更多的问题,尤其国内态势感知市场的兴趣更是把这一误区表现更淋漓尽致。大家都忘了,安全运营是对于威胁的全生命周期管理,检测只是其中一环,对于告警的研判和溯源以及响应这三环之前没有产品能很好的支撑其相应的安全运营工作。造成的局面就是客户经常抱怨态势感知好像没什么用。

客观来讲,态势感知还是有其价值的,至少解决了安全数据孤岛的问题,安全人员至少可以通过一个平台来看各个设备的告警信息,另外一个价值是解决了安全数据的可视化,通过态势感知可以看到网络被黑客攻击的整体态势,但是这个态势是非常宏观的。微观到具体的攻击的时候其质量完全不能准确表现。

攻防演练是一个非常典型的安全运营场景,公鸡队扮演黑客,企业做好防守,看到各大攻防演练现场出现的最多的两个声音:“看下主机有没有被攻陷,被攻陷主机有没有横向移动”;“K01 封下 IP”。如果将攻防演练放到日常,这两个声音也应该时时想起,但是平时却鸦雀无声,为什么呢?因为攻防演练花了大量的钱找了一堆厂商的人过来做监控、做研判、做溯源、做响应。平时没有人也没有一个产品能够自动帮助客户做这部分工作。

我们仔细梳理下攻防演练场景里最多的工作就是研判和响应,研判无非就是找到跟安全检查设备告警元素相关的能够佐证的其他数据—主机操作日志,也就是攻防演练经常听到的声音:“看下主机有没有被攻陷,被攻陷主机有没有横向移动”。

如果我们把做 SOC 的思路换一换,还是对接各个安全设备,还是要做数据解析,还是做关联分析规则,但这些规则不是发现新的问题,而是通过告警关联能够佐证其真实性和能够完整描述攻击成功后的其他行为的数据,这些规则的焦点是研判告警的准确性和完整攻击的描述上,技术实现也不是基于实时数据的关联分析,而是对历史数据的关联检索,这种实现机制帮助安全运营自动闭环了研判和溯源这两大环节。对于客户的价值是非常高的。

作者认为,未来客户的安全运营平台就是基础安全能力集 +SDC(安全数据中心)+ 自动研判和溯源平台 + 响应平台。安全数据中心做数据的集中管理,同时满足合规要求。自动研判和溯源平台 + 响应平台可以很好的支撑起日常的安全运营工作,发现问题的能力就交给检测设备就好了.

转载声明

  • 本文作者:HaloSec 转载链接:(https://www.freebuf.com/articles/neopoints/251890.html

  • 声明:本文来自 FreeBuf.COM,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册