建立安全運營中心(SOC)設計運營模式
下圖概述了 SOC 在攻擊復雜性和攻擊量方面的各種典型功能。盡管這很難說明和預測,但此圖可以用作粗略指南,幫助您推斷應達到的能力水平。
SOC能力矩陣
可能對攻擊量沒有任何真正的了解,但在這個階段,它并不那么重要,主要結果需要定義與組織相稱的能力級別,考慮到威脅概況中攻擊的潛在復雜性。
請記住,這是累積性的,因此如果認為組織將成為高度復雜的對手的目標,將需要確保 SOC 具有上述所有功能。在此示例中,為了支持威脅搜尋,需要確保擁有成熟的用例開發能力等等。
本指南的檢測部分詳細介紹了這些功能實際包含的內容。
SOC 支柱
設計 SOC 操作模型時的一個有用方法是將其分為以下關鍵支柱。
通知 SOC – 可以在此處放置威脅情報等功能,其中輸出應用作 SOC 功能的指導。在較小的 SOC 中,這可能只是第三方情報源。
開發能力——在這里,可以獲取通知功能、SOC 需求或分析師想法的輸出,并將它們轉化為技術檢測能力。還可以將工程團隊納入此處,以確保 SOC 能力得到維護和改進。
檢測和響應——這是大多數 SOC 的基礎,當檢測到異常、惡意或可疑的情況時,SOC 需要對其做出響應。這是由事件響應或事件管理等團隊管理事件的地方。
支持 SOC – 根據組織規模或 SOC 范圍,可能需要支持功能。這是客戶關系管理或系統入門的所在地,通常會根據需要調用其他技術功能。
圖片
SOC 流量
如圖所示,通過建立這些鏈接,每個支柱都會相互影響,避免信息和知識孤島,從而使 SOC 成熟并應對不斷變化的威脅形勢。
SOC功能
幫助了解運營模型設計中可能需要包含哪些功能;下面列出了最常見的核心 SOC 功能。請注意,這些流通中的函數可能有不同的名稱,并且某些函數可能會合并。
威脅情報 (TI) – 該功能應向 SOC 提供有關組織和 IT 資產當前網絡威脅的信息。這通常包括妥協指標 (IOC) 和有關威脅行為者的定性信息。
威脅追蹤——該功能旨在對規避現有安全控制的網絡威脅進行主動、迭代和以人為中心的識別。
內容開發或分析– 該團隊將可操作的威脅情報轉化為 SOC 工具中的程序化檢測規則。然后,這些信息又被用來識別系統和服務中的可疑行為。
工程– 該團隊通常負責 SOC 工具的維護、日志的技術安裝(有時稱為管道)并確保所有系統都在運行。
事件響應或處理——該團隊通過調查事件的根本原因來響應安全事件。他們的主要目標是確定事件是否應升級為安全事件。
事件管理 (IM) – 當事件被確認為安全事件時,SOC 會將事件傳遞給其 IM 團隊(可以是靜態團隊,也可以是響應的動態團隊)。該團隊將承擔從通信到技術反應的多種職責,所有這些都是為了減少影響并控制安全事件造成的損失
除了這些核心功能之外,一些組織可能會向 SOC 添加其他功能:
漏洞管理- 識別和管理資產內漏洞所需的 SOC 將需要截然不同的資源(例如,用于測試、修補和評估系統構建的專業知識和工具)。這將要求 SOC 與系統進行更多的交互,這也意味著更大的責任。重要的是,在設計中捕獲此功能所需的額外資源。
內部威脅- 與僅針對外部威脅的 SOC 相比,需要檢測和響應內部威脅的 SOC 也將具有不同的設置。它們并不相互排斥,但由于監控員工是一個敏感主題,因此執行此類任務的任何功能(特別是工具集)都應該隔離。這是因為 SOC 及其員工以及其他業務系統和員工可能會受到安全監控和調查,以應對安全事件。
地點
大多數 SOC 都會外包一些操作,即使這只是您的工具將用于檢測的簽名。
發展內部職能有很多好處,包括更好的業務背景意識,這將有助于任何需要進行的調查。
然而,從業務角度來看,如果很少使用某個功能,或者 SOC 根本沒有資源在內部實現該功能,那么將其外包也可能是有效的。
在考慮外包 SOC 的哪些組件時,確定這樣做的利弊非常重要。下表旨在幫助您思考這些決定。
例子 | 內部 | 外包 | ||
優點 | 缺點 | 優點 | 缺點 | |
威脅英特爾 (TI) | 更好的商業環境。 可以尋找與特定相關威脅相關的情報。 | 資源密集型。成本。 | 通常,大量的 TI 在許多組織之間共享,形成一個廣泛的網絡。 | 可能非常通用。缺乏商業背景。 |
數字取證和事件 (DFIR) | 更好的業務環境 和更快的設備訪問。 | 并不總是需要。 | 需要時可以調用。 | 可能缺乏業務背景。事件響應延遲。 |
該表并非詳盡無遺。目的是展示決定哪些組件可以外包的過程。
資源
在嘗試實施運營模式時,找到合適的人選可能是最大的限制之一。
在這個領域,運營模式實際上是一個目標。因為可能需要時間來找到合適的人員或培訓現有員工來提供所需的服務。
通過定義威脅概況并了解 SOC 的范圍,應該能夠評估交付威脅概況所需的資源數量。就像設計過程一樣,這可能需要多次迭代才能正確。
不可能準確規定需要哪些人員或技能,但是,有一些關鍵考慮因素:
技能
SOC 分析師所需的具體技能將受到所采用的攻擊檢測方法的影響。
但是,應該確保整個團隊擁有交付決定的檢測方法所需的廣泛技術技能和經驗。
如果團隊能夠理解攻擊者的心態,這將非常有用。了解攻擊者如何瞄準并嘗試利用系統是檢測和響應的基礎。
SOC 分析師
優秀的分析師是有效 SOC 的核心,他們有能力適應不斷變化的環境,邊學習邊研究攻擊者下一步可能會做什么。對 SOC 工作人員的投資將會帶來回報。
分析師應根據業務需求和當前情況進行指導。然而,您應該警惕對分析師進行分類和隔離任務。這通常會導致分診疲勞、工作滿意度差以及安全性差等問題。
下圖類似于分析師如何參與檢測用例的開發。從了解威脅情報中的威脅、在內容開發團隊中開發用例以及對事件處理中的任何事件進行分類。接觸所有這些領域是非常有價值的。
圖片
分析師輪換
讓分析師參與并了解 SOC 生命周期通常會帶來更好的安全性。這是因為他們將更多地接觸系統、威脅情報、檢測、警報的背景,并鼓勵更大的協作和協同作用。這種經驗的拓寬不應凌駕于任何學科專業之上,應充分利用這些專業知識,但在可能的情況下,應優先考慮技能多樣化。
治理
應考慮 SOC 在組織結構中最適合的位置。確保報告關系和監督適合正在執行的工作非常重要。作為此過程的一部分,SOC 將需要確定正在報告哪些指標。指標可以隨著時間的推移而發展,以滿足組織不斷變化的需求。
管理 SOC 的運營需要強有力的治理,以確保 SOC 合法運營、遵守法規、組織政策并確保 SOC 權力不被誤用或濫用。SOC 無疑會面臨諸如“你能告訴我員工 x 一整天都在做什么嗎”之類的問題,而回答該問題可能不屬于安全運營中心的職權范圍。
定義該線的位置將取決于需求,但請注意,將資源從檢測安全事件轉移出去可能會對 SOC 的整體功能產生不利影響。
SOC通常可以制定運營原則來確保其工作合法,例如:
- SOC將在法律、相關法規、組織政策等范圍內運作。
- 敏感數據只會被收集/搜索/索引,以檢測可能損害組織聲譽、繁榮和安全的惡意、可疑或濫用行為。
- 數據只會保留到不再需要為止或最多 x 個月。
進一步的考慮
此時,SOC 設計的各個部分應該結合在一起,但當然還有進一步的考慮。
持續改進
持續改進對于 SOC 的成功至關重要,因為它們所處的環境和面臨的對手都在不斷變化。
這些挑戰分為三大類:
- 不斷變化的環境——組織很可能會不斷發展,業務可能會發生變化,對攻擊者更具吸引力。試圖保護的資產可能會發生變化,從而導致監控能力出現缺口。如果將審核周期納入 SOC 流程中,應該能夠掌握這一點。
- 不斷變化的威脅形勢——攻擊者不斷更新他們的方法,動機可能會改變。這就是威脅情報發揮作用的地方。
- 保持檢測有效性- 所有檢測方法都需要 SOC 來構建和維護其檢測方法,以保持有效。這包括構建新的安全警報邏輯并投資于分析師的持續發展。
營業時間
雖然網絡攻擊可能發生在一天中的任何時間,但在決定需要運行的時間時,需要考慮一些重要的因素。例如,維護 24/7 的 SOC 將比 9-5 且非工作時間待命的操作需要更多的員工。雖然 24/7 提供全天候監控,并且可能適合高威脅場景,但 9-5 操作仍然比根本沒有 SOC 提供多 100% 的監控。
- 其他 IT 職能部門的工作時間是多少? 大多數重大事件都需要其他 IT 職能部門參與響應。考慮這些團隊的工作時間。如果其他 IT 功能僅朝九晚五地覆蓋且沒有值班安排,則 24/7 SOC 的效率將大大降低。
- 組織是否已經擁有可以接收高優先級安全警報的 24/7 IT 職能?有些組織已經由另一個 IT 團隊(例如數據中心運營團隊)執行 24/7 全天候覆蓋。考慮將高優先級的非工作時間安全警報發送給該團隊進行初步分類,然后再升級給 SOC 分析師。
- 考慮向非工作時間待命的SOC分析師發送高優先級警報。 或者,如果確定需要立即響應潛在事件的能力,請考慮使用警報自動通知待命的 SOC 分析師。
SOC安全
保證SOC內的數據和服務的安全至關重要,因為SOC收集的信息可能被認為非常敏感,因此對于威脅行為者而言將成為有吸引力的目標。這些信息可能包括有關組織的敏感信息、個人身份信息 (PII)、財務數據,甚至是在 IT 資產中實施的安全控制的詳細信息。
此外,如果惡意行為者能夠訪問這些信息,他們就可以通過訪問或修改這些信息來隱藏他們的蹤跡,增強他們的攻擊,甚至逃避任何事件后的清理操作。
SOC 安全性的一些關鍵考慮因素包括:
- 敏感數據- 這是一個難以控制的方面,尤其是在需要保護大量客戶和系統的SOC中。重要的是,SOC必須在其法律和監管要求范圍內運作,并確保采取適當的控制措施來執行這一要求。這可以是數據攝取的驗證或檢測敏感數據的警報。
- 隔離- 應該隔離SOC服務,這樣,如果您的 IT 資產的某個組件受到損害,攻擊者將無法直接訪問SOC數據。
- 職責分離- 擁有高權限管理員賬戶的用戶可能會在組織內執行惡意活動。因此,SOC服務應駐留在單獨的安全域中。這意味著將檢測到利用管理員賬戶的任何潛在攻擊,并且威脅行為者將無法影響審計跟蹤。
- 審計- SOC服務的用戶(SOC工作人員)必須承擔責任,這一點很重要。這可以通過創建可以報告SOC操作并發出警報的特權賬戶和功能來完成。根據良好的安全實踐,這應該遵循最小特權原則,并且對此的訪問應該受到極大的限制。
