本文讲的是从追逐警报到捕获威胁:有效SOC的进化,无论被称为SOC、CSOC(计算机安全运维中心)、网络防御中心还是别的什么东西,安全运维中心(SOC)的根本使命都不会变——帮助企业检测、分析、响应、报告和预防网络安全事件。不过,随着威胁态势不断改变,怎么有效做到这一点也发生了变化,分析师及其所依赖的技术身上的担子也更重了。
很多SOC采取的是反应式方法,提供一套包括日志管理、实时监视、事件响应和调查在内的标准服务。他们使用传统的SIEM(安全信息和事件管理),从内部源收集日志数据,进行关联,以简单实时的基于规则的分析来检测已知威胁。只要触发警报,他们就介入调查。一段时间里,这种水准的服务就足够了。但随着攻击越来越复杂,很明显有很多恶意行为都躲过了监视且没有产生明显日志数据,比如零日漏洞攻击和针对性恶意软件。这意味着传统攻击检测已经不再那么有效了。
由于成功数据泄露事件数量持续增长,且攻击者持续数周、数月甚至更长时间不被检测到,如今仅仅调查警报已经不够了。SOC分析师们很清楚不可能检测和封锁所有攻击的事实,他们必须采取积极的方式来保护公司资产,找出活跃威胁和被入侵系统。威胁捕获的重点,在于积极找出进入到网络中的威胁。这需要对可能被入侵系统的深入检查及查阅大量历史数据,以找出传统警报机制没有识别出的恶意活动。
投入威胁捕获
威胁捕获行动涉及一系列工具和技术。如果发现潜在数据泄露的证据,可以调查该系统以确定发生了什么、怎么发生的、是否有其他系统受到影响等,以便能够遏制和缓解攻击。然而不幸的是,人工捕获行动投入大产出小,耗费大量人力物力,却只有有限的机会可以查出东西。即便找出之前忽视掉的问题令人十分振奋,如果缺乏恰当的技术对之做出处理,那也只会是时间和金钱的浪费。
幸亏安全分析技术和威胁情报的发展,有助于充分利用捉襟见肘的分析师资源,开展更有效率的行动。这些技术提供帮助的方式有两种:将捕获集中在更有可能被泄露的资产上,以及重评估已发生事件以揭示最新威胁情报。
捕获被侵入系统
如大多数SOC分析师所知,很多情况下你是从普通员工报告‘某某系统有点不对劲’,而不是通过SIEM警报,来得知攻击的发生。高级攻击经常能避免触发明显警报,但仍会留下有东西出了差错的证据。被侵入的系统则会表现得与平时不一样。但依赖人工来发现非正常活动是不够的,而且跟不上当今的威胁态势。
高级分析大显身手之处正在于此。对潜在被侵入系统的积极发现和深入调查需要时间、精力和技术——这三样东西对绝大多数企业而言都是非常珍贵的。高级分析能基于发现异常来辅助识别捕获区域。突然偏离日常基线的系统,可能就正在运行新的未知进程、向不受信网络发送大量信息,或者与正常业务范围以外的地方进行通信。这些异常可能是无辜的,也可能指向潜在的被侵入系统。为发现此类异常,大多数成功捕获行动会从几种分析的综合运用开始:统计分析以识别出离群值,机器学习算法以评估这些离群值,判断是否与已知恶意行为类似。基于这些分析,具备较高被侵入概率的系统会被标识出来,进行后续深入彻底的调查。
重新评估过去
威胁捕获还包括通过检查历史数据找出可能被忽视掉的威胁。为克服传统SIEM的限制,威胁捕获采用基于大数据的新平台,来采集、管理和分析来自各种内部外部源的大量历史数据。在第一轮实时分析可能会错过什么东西的场合,可以使用大数据系统来检查可能的大量日志储备和其他可用数据源。通过采用最新威胁情报来重新分析,可具备重评估数据的能力,得到后见之明的好处。比如说,根据时下掌握的信息,通向命令与控制(C&C)基础设施的潜在恶意连接,有可能没被注意到。将更新过的威胁情报与网络通信历史元数据做对比,分析师就可能回顾性地发现攻击。
无论是积极找寻被侵入系统,还是重评估过去事件,目标都是增加捕获行动成功的可能性。大数据平台;实时全球威胁情报;再辅以基于规则的、统计的机器学习分析,分析师肩上的担子便能被有效减轻。为达成更具成效的捕获探索,这些技术必须协同使用,并融进分析师对所处环境的洞见和知识。具备了从追逐警报到捕获威胁的转型能力,SOC便能进化得在面对高级攻击时更加积极主动,更有效。