SOC大改造
今天的安全運營中心就是在用新興技術減少警報數量,以及增強老式的人力協作。
成也SIEM,敗也SIEM。
對很多安全運營中心(SOC)經理來說,安全資訊及事件管理系統(SIEM)既是福音也是詛咒:它可以整合關聯來自防火牆、路由器、IDS/IPS、防毒軟體和伺服器的安全警報;但面對最近一波的新安全工具、威脅情報饋送和不斷變化的威脅,SOC每天都在數千到幾百萬條安全警報的深淵中掙扎。
如今,很多公司都已經工具疲勞了。太多工具只實現了部分功能,並沒有得到應有的照看和饋送。
警報洪水、未經調校的工具,再加上業內持續的人才緊缺和初級SOC分析師的高流失率,已經迫使一些公司企業重新思考和調整其SOC的組織和運營。
很多情況下,變革是由另一個工具激發的:可按自動化操作手冊彌合併自動化某些任務的新一代安全編排和自動化工具,正在替代點選每條警報篩選有用資訊之類人工任務。
SOC運營者也在重組自身人手,打破1、2、3級SOC分析師之間的層次壁壘,培育更具協作性的團隊運營,讓分析師可以協作分析並解決事件,而不是簡單地在完成自身任務後交棒給下一層。
一旦各個工具開始過快過多地向SIEM流入資訊,防洪水閘開啟,SOC分析師就會被淹沒。每個分析師一天能手動處理的事件是有數的,事件山呼海嘯般湧來,SOC分析師們只能沒頂,漏掉事件無數,最終無法勝出。
安全人才緊缺也是一大問題。安全事件編排供應商Demisto最近一份報告稱,約 80% 的公司企業沒有足夠的分析師運營其SOC。培訓SOC分析師通常需要8個月;同時, 1/4 的SOC分析師2年就會轉崗。其後果就是:公司企業平均要花 4.35 天來解決一個安全警報。
該研究還發現,超過半數的公司企業要麼沒有事件響應過程操作手冊,要麼有手冊也不更新。安全團隊面對的警報疲勞和日常救火隊工作還會催生出一個容易被忽視的副作用:安全過程的停滯不前。分析師缺乏時間就難以捕獲當前過程中的漏洞並隨時更新補全之。
拿回SOC
安全供應商賽門鐵克的SOC運營算是比較大的,全球散佈著6個SOC。賽門鐵克在弗吉尼亞州赫恩登的辦事處託管著該公司的內部SOC,還有一個為其客戶管理安全事件及響應服務的SOC。一支超過500名安全人員的團隊擔負著賽門鐵克的全球SOC運營任務,每天處理超過1500億條安全日誌。
賽門鐵克的內部SOC分析師是根據經驗和資歷來劃分的(可以想象成分級制),但在安全事件發生時他們常以團隊形式工作。1級分析師被鼓勵從頭到尾處理事件,也就是從檢測到解決/響應都歸他管,不一定要交給高階分析師,但可以請高階分析師幫忙。
賽門鐵克聯合安全運營中心(JSOC)最近增加了Splunk的Phantom安全編排和自動化平臺以整合安全工具及警報。在房間裡託管安全服務一側,SOC分析師們坐得很近,輪班時有更多協作,而1級/初級SOC分析師要經過3個月的密集培訓,加上一次模擬SOC湧入事件的定時“佇列”測試。他們不僅要在佇列測試中正確解決問題,還必須解釋為什麼會選擇特定做法。
初級SOC分析師最終會接到更多的客戶電話,參與到現場客戶訪問中。
SOC分析師沒有單打獨鬥,所有分析師都將問題從頭跟到尾,初級分析師從高階分析師那裡取經。
初級SOC分析師的這種較先進而實際的角色已蔚然成風:1級SOC分析師角色被期待進化到更接近2級角色的程度,也就是能獨立分析被標記警報而不是無奈傳送給2級SOC分析師的程度。
大多數SOC中,3級分析師是技術水平最高的分析師,可以深度調查威脅或惡意軟體並取證。隨著越來越多的1級分析師工作被自動化過程分擔,3級分析師也就有了時間精力來執行更主動的測試操作,比如威脅追捕。1級和2級則承擔更多的調查職責。
保險公司決定趕個潮流,將其SOC弄成更為精簡而協作的樣子,以便更好地挫敗快速進化的各類威脅。
西北互助人壽保險公司實現的新安全編排及自動化工具,便以能及時處理入站事件的自動化操作手冊,助力了該SOC轉型。他們的初級SOC分析師如今更關注事件本身及事件產生的原因,而不是簡單地斃掉警報以達到公司指標。
這家保險公司採用託管安全服務提供商(MSSP)負責24小時安全運營,真正將其SOC視作事件響應(IR)分析師操作。所以他們沒有采用通行的“SOC”術語,而是試圖將人員歸到事件響應分析師的類別中。
自有技術
有時候需要一些自有技術來彌合SOC運營。就拿美國家庭人壽保險公司(Aflac)來說,其SOC中運營有一個集中式的SIEM和每天處理TB級安全日誌資料的行為分析平臺。該系統就是由Aflac自行建立的私有風險演算法加以彌合的,該演算法可以聚合並過濾警報。藉助自動化、分析和風險評分的組合,Aflac將其警報數量減少了約70%。
Aflac的初級SOC分析師的角色也因而發生了改變。他們不再像傳統1級分析師那樣手動點選每條原始警報再忽略或升級轉交警報。Aflac的技術組合某種程度上自動化了1級分析師的工作。
Aflac的初級分析師會檢查預篩過的警報,做分析和測試,如果覺得值得調查,就傳送給2級分析師。
即便如此,SOC依然是以傳統的分層模式在運營,只是每一層都有了比之前更高階點的職責。2級分析師負責事件的初步調查,然後將已確認的事件交給事件響應團隊。3級分析師提供取證調查,通常具備深度終端及網路分析技術。
另一個改變 Aflac SOC 運營的工具是欺騙防禦技術。這是某種形式的下一代蜜罐,可以進一步最少化其誤報,是對未知的一份保險。
欺騙防禦誘餌能給SOC分析師帶來有關攻擊者及其所用攻擊方法的獨特視角,這些資訊共享給團隊中其他成員,便可採取恰當的防禦加以響應。欺騙防禦還能促進安全團隊與業務部門的合作,並因欺騙防禦可被部署在業務部門希望的任何位置而可推動新技術的更快採納。
有些SOC運營者希望可以儘可能地精簡人員。精簡方法之一就是完全自動化1級分析師的任務,比如將之併入到編排和自動化平臺中。讓2級分析師成為可迅速行動的第一響應員,3級分析師去負責更積極主動的威脅追捕和事件響應工作。
於是,人員雖然精簡了,但引入了更多經培訓後可勝任滲透測試之類高階工作的人,可以更小的團隊運營SOC。
層級混搭
託管安全服務提供商MKACyber的SOC裡,資料和檢測是按用例和攻擊型別組織的,可有效引導初級分析師走完SOC流程。這麼做的目的是為了打破分層運營模式而更多地以協作模式運作SOC。分析師們面前有一道道“門”引著他們一步一步走過安全運營過程。
舉個例子,當網路釣魚郵件觸發警報時,過程流會指示他們通過稽核步驟來確認該警報是否真的是需要進一步處理的事件。然後,初級分析師上傳所有事件細節,由高階分析師複核他們的工作,批准進入下一級處理。
通過整合審批過程和事件響應動作,所有級別的分析師可以協同工作。
未來5-10年,SOC可能會更多地基於雲端。如果能將漏洞管理與緩解也融入SOC可能會更有利於公司的SOC運營。
SOC中的資料處理也會繼續進化。未來幾年內可能會脫出SIEM模式,分析師們更多地投入標記和資料科學類的研究中。