新一代安全运营中心利用安全设备、SIEM和SOAR,结合大数据分析、人工智能技术,寻找未知的攻击向量以及长期未检测出的攻击迹象,更加注重通过主动式、智能化、体系化的特性实现合规,而不是简单照搬合规性法规来提供网络安全。

本文作者:安全内参社区研究员 安未然

摘 要

安全运营中心(Security Operation Center,SOC)的存在是为了通过标准化和可重复的技术、流程和人员监视和保护企业和组织的信息化资产,预防和防范敏感数据泄露。

自互联网诞生以来,随着网络安全威胁环境的不断变化,安全运营中心也随之不断演变,业界目前正在定义第五代安全运营中心。

本文将回顾安全运营中心的发展历史,介绍每一代安全运营中心的特征和目标,对安全运营中心的现状进行总结和分析,并对安全运营中心的未来发展进行展望。

前言

现代的企业和组织普遍使用信息系统来最大化生产效率,他们有责任和义务保护各自客户、员工、合作伙伴以及内部运营等敏感信息,同时保护自己的信息化资产不受破坏。

但随着网络威胁和攻击的规模日益增加、方式日渐复杂,这种保护已成为一项越来越具有挑战性的工作。在刚刚过去的几年,安全泄露现象大大增加。

微软最近预警称黑客组织正在进行新一轮的勒索病毒攻击,已经锁定了政府部门、医疗机构、制造业、交通运输和教育软件供应商等关键性的社会服务组织,全然不顾因攻击这些组织而造成全球危机的严重后果。

当前,企业和组织面临数据泄露的概率很高,数据泄露所产生的后果也很严重。如果没有适当的网络安全措施,企业和组织可能会在不知不觉中开始累积这些后果,因为先前的研究已经表明,新型的网络入侵平均需要206天才能被发现。

鉴于这种情况,企业和组织正在探索新的方法来防止潜在的网络攻击。一些公司和组织依赖高级的程序来扫描他们的网络,而另一些公司和组织则依靠安全托管商(MSSP)的网络安全外包服务,还有一些公司和组织建立了以战略为中心的安全运营中心(Security Operation Center,SOC)。

安全运营中心对于企业和组织在当下以及未来保护自己的信息化资产不受破坏、敏感数据不被泄露具有重要意义。安全运营中心的存在是为了通过标准化和可重复的技术、流程和人员监视和保护企业和组织的信息化资产、敏感数据不被泄露,通常由一群经验丰富的网络安全专家和受过专门训练的工程师组成,致力于通过高质量的网络安全运营检测和响应计算机、服务器和网络的安全事件,防范和消除网络安全威胁,最大限度地减少企业和阻止损失。

安全运营中心对业务发展具有重要意义。首先,安全运营中心能够将资产的持续监控集中展示,维护企业和组织的平稳运营;其次,安全运营中心能够防范和消除网络安全威胁,维护敏感信息的机密性、完整性,从长远上最大限度地减少企业和阻止损失;第三,安全运营中心采取了严格措施防止数据丢失,能够巩固客户和员工的信任,提升和品牌的良好形象;第四,安全运营中心是由一群受过高度训练的且有着共同目标的专家和工程师组成,在网络安全事件发生时,安全运营中心能够推动跨部门和职能的协作,以保证业务安全。

本文组织结构如下,第2节回顾安全运营中心的发展历史,介绍每一代安全运营中心的特征和目标,第3节对安全运营中心的现状进行分析,第4节中对安全运营中心的未来发展进行展望

安全运营中心的发展历史回顾

美国的军队和政府机构部署了世界上最早的计算机网络,安全运营中心也最早在这里诞生,情报收集、风险管理和运营等概念也在这里产生。

随着互联网的发展,商业以及个人之间的联系日益增强,针对安全运营中心基础设施的攻击也随之出现。攻击者仅仅通过社会工程学和各种简单的漏洞利用方法就能突破了计算机和网络基础设施的安全控制,由此产生了一个动态的威胁环境,安全运营也开始从企业和组织的信息化、风险管理以及合规检查等部门以不同的形式逐渐演化而来。

然而,受限于早期信息技术的发展以及网络安全认知,早期的安全运营通常需要手工作业进行,并且此时的安全运营团队虽站在网络安全防御的前线,但却是在企业或组织各自的信息孤岛之中。

随着信息技术的不断发展以及网络威胁的规模日趋扩大、复杂性日益提高,早期的安全运营中心已经无法满足新的安全运营需求。

例如,最初由洛克希德·马丁公司(Lockheed Martin)定义的网络攻击链(Cyber Kill Chain Model)模型,能够渗透企业和组织的网络边界防御系统,并在企业和组织中寻找可用的、有价值的资产,一旦捕获到目标网络中的关键系统,就会窃取机密数据。

对于这种类型的威胁,如果在攻击链的早期阶段没有检测到攻击,攻击的影响就会被逐渐放大。因此,为了防止威胁检测的漏报并及时消除风险,新的安全运营中心就需要针对攻击链的每个阶段进行检测和防御,而这又需要安全运营中心具备对这种新威胁的深入理解能力,并且要围绕相关攻击步骤来部署安全运营,以验证攻击链的每个阶段是否都被有效解决。

总之,网络威胁是不断发展的,网络威胁永无止境,网络安全永无止境。检测已知和未知的威胁,预测未来的攻击手段是安全运营中心将长期面临的重大挑战。

安全运营中心的命名也随着安全运营实践的发展不断变化,企业和组织尝试使用不同的命名方式来描述不同的高级功能和目标,避免与“运营”名称相关的歧义和误解。

例如,“防御中心”突出了企业和组织的防护特性;“情报中心”代表了先进的能力和高水准的分析;在“安全(Security)”前面添加“网络(Cyber)”所产生的“网络安全(Cybersecurity)”这一术语表明了数字化特性,而不是物理安全;使用 “威胁(Threat)”术语用以反映监控团队基于风险的属性。

企业和组织已经想出了众多创造性的名称来表示安全监控功能,在本文中,我们将使用“安全运营”和“SOC”表示能够通过检测、阻断和修复信息化基础设施威胁提供网络安全态势感知的相关技术、人才和管理流程。

安全运营中心的演化是随着网络安全威胁的变化而演化的。迄今为止,安全运营中心已经发展了五代,包括微量恶意代码时代的安全运营中心、大量恶意软件时代的安全运营中心、网络威胁组织化时代的安全运营中心、高级持续威胁时代的安全运营中心、大数据智能分析时代的安全运营中心。

2.1 第1代:微量恶意代码时代的安全运营中心

第一代安全运营中心(1975-1995)伴随着互联网的诞生而随之出现,当时互联网出现后不久就出现了利用(Exploitation)和滥用(Abuse)现象,而大多数企业和组织都还没有相应的网络安全防御措施。早期发现的滥用现象通常是攻击者偶然的创造性思考产生的结果,既不是组织化的,也不是可重复的。

在80年代中期,网络威胁开始通过好莱坞电影、书籍、出版物以及美国国会引起公众的关注,以防病毒和防火墙软件为代表的安全产品率先出现,网络代理和入侵检测系统也随之出现,用于监控和管理这些安全产品的第一个“安全运营”也正式诞生,并且能够对安全威胁做出一定响应。不过,此时的安全运营通常是指一个人,由这个人以纯手工作业的形式对企业和组织的安全设备进行管理。

到80年代后期,美国政府和军事机构开始出现具有实际功能的安全运营中心,但此时安全运营中心的网络带宽很低,安全分析的效率很低,并且安全分析在很大程度上以非结构化形式进行的,没有先验知识,白帽子或黑帽子的市场机会开始凸显出来。

总之,第一代安全运营中心利用早期的新兴技术,但这些技术经常是临时的,纯手工的,并且受限于时代因素,也面临着所谓的SOC安全分析人员不足的问题

2.2 第2代:大量恶意软件时代的安全运营中心

第二代安全运营中心(1996-2001)诞生在90年代末期,此时恶意软件开始大爆发,如病毒、蠕虫等,都对企业和组织的计算机和网络造成了严重破坏,催生了漏洞跟踪和系统补丁技术,网络安全企业开始将安全监控和管理的服务商业化,并向付费客户提供服务,也形成了所谓的安全托管服务商(Managed Security Service Provider,MSSP)模式。

该时期,防火墙、防病毒系统、代理、漏洞扫描和入侵检测系统(Intrusion Detection System, IDS)等各式各样的新技术产品层出不穷。

其中,入侵检测系统在这个时代发挥了重要作用,政府机构、军事部门以及私营的大型商业组织开始在内部的安全运营中心建设中部署强大的SNORT和tcpdump等产品或工具用于入侵检测。美国之外的其他国家在这个时代开始启动网络开发、防御和攻击计划。

此时,安全事件分析主要是通过脚本、入侵检测系统的控制台以及其他自主开发的工具来进行的。第二代的安全运营中心在第一代的基础上有了很大的进步,但主要是以重点防御为主,入侵检测系统在安全运营中心中发挥了巨大的作用,企业和组织开始正式制定了入侵响应和漏洞跟踪的管理流程和过程。

2.3 第3代:网络威胁组织化时代的安全运营中心

第三代安全运营中心(2002-2006)诞生在21世纪初,此时网络犯罪集团以获取经济利益为目标,利用Bot僵尸网络来窃取身份和财务信息,不断扩张和组织化,SQL Slammer、Blaster等恶意软件也造成了互联网的大规模破坏。

随着互联网技术的进一步发展,恶意软件从破坏性的蠕虫开始转向有针对性的攻击。政府机构、军事部分和安全托管商(MSSP)开始开发和部署基于安全信息和事件管理(Security Information Event Monitoring,SIEM)的安全运营技术,安全运营走向成熟。

SIEM能够用来收集、监测和分析网络资产和安全设备的日志和事件。知名公司Gartner对SIEM进行了描述性的定义:SIEM为来自企业和组织中所有IT资产(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。

SIEM虽然是在这二代末期产生的,但直到第三代才在日常的安全运营中被SOC的安全分析人员广泛使用和依赖。

此时,一些行业的大型商业组织开始建立正式的安全运营中心,较小规模的企业和组织也开始切身感受到网络空间的安全威胁。

美国支付卡行业率先成立了PCI委员会,要求供应商遵守安全和数据保护标准。计算机事件响应小组正式制定了危机管理程序,并将重点放在早期发现能力上。

美国实施了新的泄露告知法,企业和组织的安全项目开始增加,重大数据泄露开始向公众披露。

总之,第三代安全运营中心时期,以获取经济利益为目标的网络安全威胁开始组织化,攻击数量迅速增加,基于SIEM的安全运营技术开始广泛应用,安全运营技术走向成熟,安全运营新技术的重点从检测转向预防和防范攻击。

SIEM采用关系数据库技术解决了数据接入和管理的自动化问题,但是检测和响应是是基于特殊场景构建的基于规则的匹配技术,仍然需要SOC安全分析人员手工作业进行,其事件分析和响应是被动的。

2.4 第4代:高级威胁时代的安全运营中心

第四代安全运营中心(2007-2012)诞生在21世纪00年代中后期,更大规模的网络威胁开始出现,社交媒体平台成为人们彼此之间相互分享意见、见解、经验和观点的重要工具和平台,攻击者开始利用社交媒体工具对企业、组织以及个人进行攻击。

网络攻击开始趋向复杂化、高级化,如APT攻击(Advanced Persistent Threat,高级持续威胁攻击),这种攻击通常是由特定组织对特定对象展开的持续有效的攻击, 具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的、且有效的威胁和攻击。

企业和组织开始意识到,即使防御性的安全技术就位,网络入侵也将会发生,并将重点从入侵的检测和防御转向泄露的检测和阻断。在此期间,有一小部分中小型企业开始构建安全运营中心,用于检测、升级和修复安全事件。

此时的安全运营技术仍然以SIEM技术为主,SIEM技术在这种新形势下开始面临了重大的挑战:1)SIEM技术以安全日志和事件的采集为基础,被动地进行事件分析和响应,检测点和响应措施严重不足;2)SIEM产生大量告警事件需要等待SOC安全分析人员处理,产生了“告警过载”问题;3)企业缺乏网络安全专业技能人才,无法保证网络安全运营人员整天坐在SIEM的前端进行一系列调优操作。例如,内容规则创建,误报验证,漏报查找等等。

总之,该时期的网络攻击规模更大、攻击方式更复杂,而且攻击载体更针对个人,SIEM技术的不足凸显出来,安全运营中心需要新的技术突破,以防范更加高级的威胁。

2.5 第5代:大数据智能分析时代的安全运营中心

第五代安全运营中心(2013-至今)诞生在21世纪10年代初期,并且仍在不断发展中。网络威胁呈指数型爆炸性增长,市场上网络安全产品的需求和供应也越来越高。

大多数安全产品都为签名、故障、病毒和蠕虫提供点对点解决方案,但网络空间的威胁和风险环境发生了巨大变化,具有极强的隐蔽性和针对性的APT攻击的复杂性也不断提高,企业和组织的网络安全防御也由此在转向全面应对:不断追加资金投入,全面培养安全分析人员的反情报、反监视、犯罪心理学和分析思维能力。

网络安全标准和合规性工作也在不断推进安全产品和实践的发展,各个企业和组织都在争先恐后地寻找降低网络安全风险和限制攻击影响的最佳方法。

安全运营开始从被动式转变为主动式,注重从防御、检测、响应和预测四个维度解决构建网络安全体系,安全运营“闭环“的概念也相应形成,业界开始认识到安全运营需要走向更加体系化的道路。

针对传统SIEM所面临的被动事件分析和响应、告警过载以及企业缺乏网络安全专业技能人才的问题,SOAR(Security Orchestration, Automation, and Response,安全编排、自动化和响应)的概念诞生,能够帮助企业更加有效地部署SIEM。

SOAR也是由Gartner提出的新概念,其对SOAR进行了描述性定义:SOAR是一系列技术的合集,它能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。

然后在标准工作流程的指引下,利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化的事件响应活动。SOAR 技术使得企业和组织能够对事件分析与响应流程进行形式化的描述,继而通过自动化的方式对所有主流安全产品的接口进行编排,使得在告警事件触发时可以按照预定义的逻辑进行多业务系统、多设备、多层级的联动,实现安全编排的自动化响应;此外,SOAR技术通过告警分诊和告警调查提升告警的质量,减少告警的数量,通过威胁情报平台对多源威胁情报进行收集、关联、分类、共享和集成,以及与其它系统的整合,协助用户实现攻击的阻断、检测和响应。

总之,第五代安全运营中心利用安全设备、SIEM和SOAR,结合大数据分析技术、人工智能技术,寻找未知的攻击向量以及长期未检测出的攻击迹象,更加注重通过主动式、智能化的特性实现合规性,而不是简单地依照合规性法规来提供网络安全。

安全运营中心的现状

当前,安全运营中心正在经历着物联网、大数据、云计算和人工智能智能新时代的变革。安全运营开始从被动式转变为主动式,注重从防御、检测、响应和预测四个维度解决构建网络安全体系,安全运营“闭环“的概念也相应形成,业界开始意识到安全运营要走向更加体系化的道路,管理、组织流程对于网络安全的至关重要,并着手建立标准化的现在企业和组织的安全运营管理体系。

3.1 安全运营中心的架构现状

知名技术咨询公司Gartner在2014年提出了面向下一代的安全体系框架——自适应安全架构(Adaptive Security Architecture,ASA),用于应对云计算与物联网所带来的新的网络安全形势,该架构对于当前以及未来的安全运营中心建设的具有重要的参考意义。

自适应安全架构从防御、检测、响应和预测四个维度构建网络安全的体系结构,强调安全防御是一个持续处理的、循环的过程,并且要对安全威胁进行细粒度、多角度、持续化的实时动态分析,更加注重对不断变化的网络和威胁环境进行自适应,不断优化自身的安全防御机制。

1)防御

防御是指一系列可以用于防御攻击的策略集、产品和服务。其主要目标是通过减少被攻击面来提升攻击门槛,在攻击完成前阻断攻击操作。

2)检测

检测用来检测和识别那些逃过防御系统的攻击,其主要目标是降低威胁造成的计算机或网络“停摆时间”,以及其他潜在的损失。检测能力是非常关键的,当前的企业和组织假设自己已处在被攻击的状态之中。

3)响应

响应用于高效调查和修复被检测分析系统(或外部服务)识别出的告警事件,以用于入侵和攻击的溯源和取证分析,并产生新的阻止和防范手段来避免未来的告警事件。

4)预测

预测利用防御、检测、响应的结果不断优化安全运营系统,逐步构建精准的预测未知和新型攻击的能力。预测意味着安全运营系统能够主动锁定对信息化资产的未知和新型攻击,评估安全风险并优先解决其中高优先级的泄露问题,其所形成的威胁情报将反馈到预防和检测的功能中,从而形成整个处理流程的闭环。

3.2 安全运营中心的技术现状

传统的SIEM技术立刻在网络安全资源稀缺的企业和组织中遇到了挑战:1)传统的SIEM采用了关系数据库技术构建,但随着日志数据源的数量增加,数据库的负载不断加重,限制了传统的SIEM提供实时响应的能力;2)传统的SIEM产生大量告警事件需要等待网络安全运营人员处理,产生了“告警过载”问题;3)传统的SIEM采用了模式匹配引擎技术(也称作签名技术)进行上下文的匹配,容易产生大量误报;4)企业和组织缺乏网络安全专业技能人才,无法保证网络安全运营人员整天坐在SIEM的前端进行一系列调优操作。例如,内容规则创建,误报验证,漏报查找等等。

为了应对上述挑战,SOAR和新一代SIEM技术诞生,代表了当前的最先进的安全运营技术,他们在安全数据管理、安全数据分析、安全事件响应、威胁情报共享和安全可视化等方面具有新的特征。

1)安全数据管理

安全数据管理转向大规模的数据集成和融合,并引入威胁情报数据扩展安全数据。传统的SIEM虽然引入了关联引擎,但是这种关联引擎因有限的数据存储和管理能力无法聚合和关联企业内部部署(On-Prem)和云端部署的负载、SaaS(Software As A Service,软件即服务)解决方案以及系统和网络遥测等产生的所有日志和事件数据源,也就无法对检测到的安全威胁进行自动响应。

新一代安全运营技术的采用了一些在21世纪早期还无法使用的大数据处理和分析技术(例如,Apache Hadoop、Apache Spark、Elastic Search等),能够对具有大数据3V特征(Volume,Velocity,Variety)的多源日志和事件进行融合分析。

2)安全数据分析

安全运营中心的重要特征在于安全数据分析开始采用人工智能技术来增强安全分析的能力。传统的SIEM采用了模式匹配引擎技术(也称作签名技术)进行上下文的匹配,容易产生大量误报。

但在过去的20年里,数据科学逐渐成熟起来,新一代安全运营技术采用了机器学习技术对多源日志和事件数据进行有监督或非监督的学习建模,进而基于学习的模型快速地识别出异常行为,这极大地减轻了安全运营人员的工作负担。

此外,将人工智能技术集成到新一代安全运营技术,使其不仅能够识别网络资产异常,还能够学习网络资产环境中的用户行为,从而使其能够进行用户实体行为分析( User Entity Behavior Analytics,UEBA)。

值得注意的是,新一代安全运营技术并不只是简单地将事件标识为“正常或异常”,而是使用机器学习模型对事件分类标签进行评分,当某一标签的评分超过预先设定的阈值时,就会提交给安全运营人员来进一步分析。

上下文关联是安全运营日常中最基础的工作之一,用来判断某一告警事件是否应该被视作正常的行为事件,这就要求新一代安全运营技术能够对网络资产一系列行为信息进行上下文的深入理解,并根据这种理解来评估影响该资产的告警事件。

传统的SIEM直接将事件的严重程度划分为高、中、低三个层级中一个,除此之外没有更多的上下文信息供安全运营人员参考决策。而在用户实体行为分析中,新一代安全运营技术可以根据上下文行为信息快速地识别出异常行为。

例如,一个家住美国加州的员工从未在工作以外的时间登陆过VPN,但是突然在凌晨两点从乌克兰的网络登陆VPN,可被新一代的SIEM快速判断为异常行为。

传统的SIEM不具备对资产和基础设施进行态势感知的能力,因此无法识别攻击者在受害者网络立足之后的横向移动攻击行为。

新一代安全运营技术能够跟踪攻击者在企业内部部署的网络中甚至云端工作负载中从一个资产设备转移到另一个资产设备的横向移动攻击行为。

这就像在犯罪现场调查一样,调查员的主要工作是将事件按照既定的时间线拼接起来。基于时序的攻击链自动化构建是新一代安全运营技术的重要功能,而在传统的SIEM中必须由安全运营人员手动拼接起来。

3)安全事件响应

安全威胁响应通常包括告警管理、工单管理、案件管理等功能。其中,告警管理用来对告警安全事件进行收集、展示和响应,注重通过告警分诊和调查来提升告警的质量,减少告警的数量;工单管理适用于中大型的安全运营团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核;案件管理是现代安全事件响应管理的核心能力,能够帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的TTP(Tactics, Techniques and Procedures,战术、技术和过程)指示信息。通过多个案件并行执行,能够持续化地对一系列安全事件进行追踪处置。

安全运营中心正在将前几代需要安全分析人员手工作业的事件响应等大部分活动自动化,使得安全分析人员更加专注于高级的分析和事件检测。

新一代安全运营技术采用了自动化的安全编排 (Security Orchestration)技术,使得不同的系统或者单个系统内部不同组件可以通过应用编程接口(Application Programming Interface,API)和人工检查点按照一定的逻辑关系组合到一起,用以完成某个特定安全运营的过程,使得在告警事件在被触发时可以按照预定义的逻辑进行多业务系统、多设备、多层级的联动,实现了安全事件响应的半自动化。

新一代安全运营技术最强大的功能就在于能够对已知的威胁进行一定的自动化响应,这些已知的威胁是根据事件响应预案(Playbook)预先定义的。

与传统的SIEM不同,新一代安全运营技术不仅能够从应用程序和系统中提取事件数据,还能够在业务流程之上实现工作流自动化。例如,将响应操作推送到防火墙或入侵防御系统等设备,以响应检测到的威胁。

4)威胁情报共享

威胁情报对于构建自适应的、“闭环”的安全运营中心至关重要,但没有任何一个组织拥有检测所有安全威胁所需的全部信息,安全运营中心仅仅构建自己的“威胁情报中心”还不足够,必须与其他厂商合作实现共享,借助正式的威胁情报联盟的力量。

当前,一些安全运营中心的领导者们正在主动组建信息共享团队,并在行业或者垂直领域建立直接关系,利用彼此的专业知识来与攻击者斗智斗勇。

5)安全可视化

可视化通常是信息系统产品应当具备基本功能,安全可视化对于安全分析人员理解和分析当前所面临的网络威胁和攻击、整体网络安全态势、企业的风险状况、合规情况等至关重要。

网络安全企业正在竭尽全力不断为用户提供更优质的安全可视化界面,但安全可视化主要是随着安全数据管理、安全数据分析、安全威胁响应、威胁情报共享等安全技术的发展而变化。

3.3 安全运营中心的管理现状

网络安全是一个巨大的体系,没有人员的参与和规范化的组织流程,再强大的安全运营系统也是一个摆设,人员和组织流程对于安全运营同样至关重要。当前,一些企业和组织开始注重并建立标准化的现代安全运营管理体系。

1)安全战略

当前,一些企业和组织开始着手从顶层设计层面构建攸关股东利益的网络安全战略,致力于形成业务目标和安全运营目标相互促进、相互协调的统一框架。顶层的战略通常涉及信息化和网络安全基础设施资源、组织架构、脆弱性的评估范围等等。

2)组织架构

基于顶层的网络安全战略,一些企业和组织开始着手构建并形成规范化的安全运营管理体系,主要包括:1)构建职责清晰的组织架构;2)建立健全相关的安全岗位及职责;3)制定并发布相关安全管理体系,并定期进行修正;4)对信息系统进行安全评估和实施,处理信息安全事故;5)建立部门间的协调机制,分派并落实信息安全工作中各部门的职责。

安全运营中心需要更加注重团队的网络安全专业知识,经验丰富的网络安全专家能够提高安全运营的效率。安全运营中心的技术团队的主要包括SOC经理、合规审计工程师、安全分析工程师、事件响应工程师、调查取证工程师等。企业和组织根据不同具体情况建立专职或兼职的安全队伍,开展相应的安全运营工作。

3)运营流程

运营流程能够提高企业和组织的安全运营工作效率、降低成本和控制风险,使企业和组织更好更快的防范和消除网络安全威胁。企业和组织正在将越来越多将流程以自动化形式融入到安全运营各个要素之中,特别是自动化响应之中。

安全运营中心的未来发展展望

当前,许多企业和组织都建立了安全运营中心,其主要形式通常是由安全专家组成的集中化组织来监控、防御、报告和响应安全威胁和攻击。虽然这样的安全运营中心已被实践证明有助于改善公司的安全态势,但是严重的安全事件仍然十分猖獗。

安全运营中心遭遇失败的原因很复杂,通常是技术和人为因素的混合问题。例如,2013年,Target遵循了安全运营中心的“行业最佳实践”,部署了价值160万美元的恶意软件检测工具,并实施了“合理的安全控制措施”,攻击者仍然成功突破了Target的网络并窃取了他们的数据。

在此之前,Target的二级安全运营中心曾成功地发现了这个攻击问题,并将其报告给了一级安全运营中心。然而,由于未知的原因,一级安全运营中心并没有采取除了检测之外的措施,数据泄露问题实际上一直持续存在,造成了重大损失。

因此,为了提高安全运营中心的有效性和效率,安全社区必须能够发现安全运营中心所面临的问题,并构建解决方案来增强这些关键组件,以应对不断增长的网络威胁和攻击。

4.1 安全运营中心问题和挑战

安全运营中心是在实践中发展的,问题和挑战是动力之源,尽管安全运营实践总是面临大量的问题,这里列举一些主要的问题和挑战。

1)安全告警过载问题

安全告警过载将是安全运营中心长期面临的巨大挑战。当前,恶意攻击者越来越多地使用自动化装置来发动网络攻击,非自动化的网络安全防御技术将致使将安全运营中心淹没在安全告警事件的汪洋大海之中。

当前安全运营技术的一大优势是能够将告警事件进行集中存储和管理,并对告警事件进行一定的响应,但这并不会有效地减少告警数量本身,也不会着重突出显示高风险的告警事件,也不能使各个安全设备之间彼此共享新的威胁情报。例如,在大型企业或组织的安全运营中心,即使收到安全告警表明正在遭受攻击,结果也很可能会因安全分析人员太少而淹没在大量的安全告警之中。

2)安全响应自动化问题

当前安全运营的响应技术实际上是半自动化的,而实现完全自动化的响应又是一项不可能完成的任务,安全分析人员的作用不可或缺,基于人力的安全响应是安全运营效率的问题根源。

3)安全专家的人力成本问题

当下,即使大型企业和组织也无法为安全运营中心配备足够的安全专家来跟上安全告警事件增长的规模,更不用说考虑安全业务的未来增长。高技能的安全运营专家很难找到,也很难留住,常常需要提供互联网行业的最高工资。安全运营中心需要耗费企业和组织大量的预算经费,只有这些企业和组织能够组建手工作业的安全运营的团队。

4)威胁情报质量和成本问题

网络安全威胁的规模不断增加和复杂性日益提升,企业和组织的安全团队不断寻求多种来源的威胁情报,大量的威胁情报信息也会产生“信息过载”问题, 这不仅需要资金支撑,也需要威胁猎手审查、消除冗余数据,关联威胁情报,最终使用威胁情报的人力资本代价高昂。

5)安全运营管理体系问题

没有人员的参与和规范化的组织流程,再强大的安全运营系统也是一个摆设,人员和组织流程对于安全运营同样至关重要。当前,企业和组织对于安全运营管理体系还不足够重视,尽管开展了一些安全教育培训,但往往流于形式,效果不够明显。

6)评价指标问题

目前的一些性能评价指标在衡量安全运营中心的运行质量和效率方面可能不太有效,由于每个安全事件都有独特的严重性和后果,单纯的量化数字可能不会告诉你能做什么。

4.2 安全运营中心的未来发展

未来,安全运营中心一项重要任务是将当前的一些先进的网络安全理念和架构在实践中落地,在落地的过程中深度结合人工智能技术,不断提升网络安全运营的管理水平,并通过行业标准来规范化不同安全产品的集成。

1)落地先进的网络安全架构

随着网络安全实践的发展,人们的对网络安全的认识也在不断更新、不断完善、不断优化,对安全运营中心的目标要求也在不断提高,传统的安全运营中心以检测,响应和修复为基本架构,未来的安全运营中心将更多实践以防御、检测、响应和预测为主的自适应安全架构,并不断融合新的网络安全理念,走更加体系化的道路。但一个基本目标没有变,即低成本、高效率地消除企业和组织的各种安全威胁。

2)推进智能驱动的安全运营

安全运营中心的技术体系过去已经从安全单点设备驱动转向数据驱动的网络安全技术体系,目前正在从数据驱动转向智能驱动的网络安全体系。这并不是说不再使用安全单点设备和安全大数据,而是网络安全技术体系的核心是智能驱动,安全单点设备和安全大数据是安全运营中心的基本元素和应有之义。以人工智能技术推进安全运营流程和过程向着更加标准化、规范化和自动化的方向发展。

3)构建安全产品的技术标准

现有的安全运营技术体系形成了以安全运营管理系统为核心,安全单点设备协同,威胁情报系统加持的体系,但是这个体系存在着不同厂商安全单点设备、威胁情报接口标准不同,难以自动化地集成到安全运营管理系统的技术问题,未来可通过构建相关的技术标准来解决不同安全产品集成困难的问题。

文章来源:安全内参,如需转载需获得授权

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。