青藤云安全：如何為SOC注入“源頭活水”?

高級(jí)網(wǎng)絡(luò)威脅等網(wǎng)絡(luò)犯罪屢見(jiàn)不鮮，層出不窮。由于數(shù)據(jù)被盜、服務(wù)中斷及聲譽(yù)受損，導(dǎo)致企業(yè)的網(wǎng)絡(luò)攻擊損失也不斷攀升。加之有關(guān)信息安全的法律法規(guī)相繼頒布，以及各企業(yè)日益加強(qiáng)對(duì)第三方關(guān)系的管理，使用SIEM、SOC等產(chǎn)品來(lái)加強(qiáng)安全態(tài)勢(shì)感知，已成為大家共同的選擇。

雖然SOC目前在國(guó)外發(fā)展的熱火朝天，但在國(guó)內(nèi)，由于缺乏充足的建設(shè)和維護(hù)經(jīng)驗(yàn)，導(dǎo)致SOC難以充分發(fā)揮其預(yù)期效果，很多企業(yè)都將其當(dāng)成數(shù)據(jù)存儲(chǔ)工具或SIEM工具來(lái)使用。

目前，在國(guó)外，SOC服務(wù)通常是以一種類(lèi)似于SaaS服務(wù)的SOC-as-a-service(SOC即服務(wù))方式來(lái)提供的，發(fā)展得如火如荼。如果參考國(guó)外的成熟經(jīng)驗(yàn)，將SOC作為一項(xiàng)完整的態(tài)勢(shì)感知解決方案，即可享受SOC所帶來(lái)的諸多效益。即便是對(duì)于預(yù)算有限的用戶，SOC-as-a-service也可以提供所需的端到端的安全服務(wù)，由專(zhuān)業(yè)的SOC提供類(lèi)似SaaS的服務(wù)，部署和管理起來(lái)既快速又容易，同時(shí)可以享受運(yùn)行SOC所需的安全專(zhuān)家、流程和技術(shù)提供的專(zhuān)業(yè)服務(wù)。由于不需要在其他硬件、軟件或人員上進(jìn)行投資，客戶的成本效益更高。

下面筆者將談?wù)剬?duì)態(tài)勢(shì)感知產(chǎn)品SIEM和SOC一些理解。對(duì)此話題感興趣的伙伴們，還可以參加12月10日，青藤云安全與中信集團(tuán)旗下公司中企通信聯(lián)合舉辦的在線直播，對(duì)此話題進(jìn)行深入探討。

從SIEM到SOC的變與不變

安全信息和事件管理(SIEM)是出現(xiàn)較早的安全態(tài)勢(shì)感知產(chǎn)品，可匯總和管理來(lái)各種來(lái)源的數(shù)據(jù)，例如syslog、OS日志、端點(diǎn)設(shè)備、防火墻/IDS輸出和網(wǎng)絡(luò)流日志，其功能如下圖所示。

SIEM 的功能

雖然SIEM具有強(qiáng)大的數(shù)據(jù)處理功能，但終究只是一款工具，受限于需要專(zhuān)業(yè)人員運(yùn)營(yíng)、誤報(bào)多等限制，無(wú)法成為一款完整的態(tài)勢(shì)感知解決方案。而SOC則以SIEM作為核心技術(shù)，更多地集成了NIDPS、EPP、EDR、網(wǎng)絡(luò)流量分析(NTA)、安全編排、自動(dòng)化和響應(yīng)(SOAR)、威脅和漏洞管理(TVM)以及入侵攻擊模擬(BAS)工具，成為一種更完善的態(tài)勢(shì)感知解決方案。

下圖展示了SOC內(nèi)部的數(shù)據(jù)處理流程。整個(gè)SOC分為四層，Tier 1為報(bào)警分析師，Tier 2為事件響應(yīng)人員，Tier 3為威脅捕獲人員，Tier 4為SOC經(jīng)理，其數(shù)據(jù)處理流程為：

· SIEM等工具收集的報(bào)警數(shù)據(jù)流向Tier 1的分析師，他們負(fù)責(zé)監(jiān)視報(bào)警、確定報(bào)警的優(yōu)先級(jí)，并負(fù)責(zé)對(duì)報(bào)警進(jìn)行調(diào)查。

· 真正的威脅會(huì)傳遞給Tier 2的事件響應(yīng)人員，他們具有更深厚的安全經(jīng)驗(yàn)，他們會(huì)進(jìn)行進(jìn)一步分析并制定策略，遏制威脅的傳播。

· 嚴(yán)重的數(shù)據(jù)泄露行為將交給管理Tier 3的高級(jí)分析師，由他們?nèi)珯?quán)負(fù)責(zé)解決該威脅情況。此外，這些高級(jí)分析師還負(fù)責(zé)積極尋找威脅并評(píng)估業(yè)務(wù)漏洞。

· Tier 4的SOC經(jīng)理則負(fù)責(zé)根據(jù)情報(bào)信息，對(duì)未來(lái)SOC進(jìn)行整體規(guī)劃和管理。

SOC的數(shù)據(jù)處理流程

從上圖可以看出，一切工作均始于數(shù)據(jù)，數(shù)據(jù)乃SOC之根源。確定收集數(shù)據(jù)所需的數(shù)據(jù)點(diǎn)是實(shí)現(xiàn)態(tài)勢(shì)感知的第一步。在大多數(shù)情況下，這些數(shù)據(jù)點(diǎn)是來(lái)自組織機(jī)構(gòu)的IT基礎(chǔ)結(jié)構(gòu)的日志。有一個(gè)誤區(qū)就是將組織機(jī)構(gòu)中所有可能的日志和數(shù)據(jù)點(diǎn)全部納入SIEM、SOC中，并假設(shè)可能有一天可能會(huì)用到這些數(shù)據(jù)。但管理供SIEM、SOC使用的數(shù)據(jù)成本非常高昂，為了避免不必要的運(yùn)營(yíng)成本，要優(yōu)先選擇“需要”的數(shù)據(jù)。

并非所有數(shù)據(jù)都可以納入態(tài)勢(shì)感知產(chǎn)品中。例如，將Web代理日志發(fā)送到SOC中可能很簡(jiǎn)單;但是，并非所有數(shù)據(jù)點(diǎn)都使用方便或?qū)OC有價(jià)值。有些組織機(jī)構(gòu)可能希望使用特定的數(shù)據(jù)點(diǎn)來(lái)解決某些用例問(wèn)題，但是，也要意識(shí)到，讓SIEM、SOC來(lái)管理這些數(shù)據(jù)點(diǎn)，并確保這些數(shù)據(jù)的有用性，并非易事。下圖展示了根據(jù)解決方案的成熟度，將典型數(shù)據(jù)點(diǎn)納入到SIEM、SOC中的困難程度。

數(shù)據(jù)源管理的難度

現(xiàn)在的態(tài)勢(shì)感知到底還缺什么?

要實(shí)現(xiàn)良好的態(tài)勢(shì)感知功能，就要從多種來(lái)源收集可靠數(shù)據(jù)。沒(méi)有高質(zhì)量的數(shù)據(jù)來(lái)源，SOC也就是一個(gè)花瓶擺設(shè)。但是正如上文所說(shuō)，現(xiàn)在SOC數(shù)據(jù)來(lái)源于有很多，但是大部分都是網(wǎng)絡(luò)側(cè)流量數(shù)據(jù)、日志等。主要是通過(guò)對(duì)互聯(lián)網(wǎng)節(jié)點(diǎn)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控探測(cè)，形成局部的威脅事件采集能力，這實(shí)際上是一種基于事件檢測(cè)維度的視角。但受限于威脅情報(bào)來(lái)源、數(shù)據(jù)分析能力和安全響應(yīng)能力，市場(chǎng)上很多態(tài)勢(shì)感知僅僅是通過(guò)一些安全可視化方法做了數(shù)據(jù)的圖像呈現(xiàn)。甚至很多人都認(rèn)為態(tài)勢(shì)感知就是大屏展示的“安全地圖”，只用于直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，比如了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來(lái)源等。這類(lèi)態(tài)勢(shì)感知產(chǎn)品具有一定威脅展示的直觀性，但從感知深度、感知廣度和感知的有效覆蓋范圍來(lái)看，遠(yuǎn)未達(dá)到“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”的要求。

那么態(tài)勢(shì)感知一個(gè)合理視角應(yīng)該是什么?筆者認(rèn)為應(yīng)該從以事件為中心轉(zhuǎn)到以資產(chǎn)為中心。從哲學(xué)角度看，態(tài)勢(shì)感知是對(duì)網(wǎng)絡(luò)空間中的主體、客體和關(guān)系進(jìn)行認(rèn)識(shí)和表達(dá)的過(guò)程。攻擊方、用戶、廠商等屬于主體，而攻擊工具、服務(wù)器、虛擬數(shù)據(jù)資產(chǎn)等都屬于客體。

現(xiàn)有態(tài)勢(shì)感知缺乏主機(jī)相關(guān)信息，對(duì)于失陷主機(jī)的“態(tài)”及脆弱主機(jī)的“勢(shì)”無(wú)法精準(zhǔn)有效的呈現(xiàn)。而全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，要求除了對(duì)基于網(wǎng)絡(luò)流量進(jìn)行威脅可視化呈現(xiàn)，還要求對(duì)全網(wǎng)主機(jī)及關(guān)鍵節(jié)點(diǎn)的綜合信息進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)控。

如果無(wú)法獲得正確的數(shù)據(jù)，則無(wú)法實(shí)現(xiàn)這些數(shù)據(jù)的預(yù)期用途。沒(méi)有數(shù)據(jù)就意味著防護(hù)人員無(wú)法看到攻擊行為，從而也就沒(méi)辦實(shí)行防護(hù)方案。

那么如何獲得高價(jià)值數(shù)據(jù)?我們需要確保做好以下方面的工作，才能確保SIEM、SOC等產(chǎn)品可以使用特定日志數(shù)據(jù)：

1)配置好初始系統(tǒng)，以便生成所需的遙測(cè)數(shù)據(jù)

2)讓初始系統(tǒng)通過(guò)syslog推送或通過(guò)從SIEM工具提取API來(lái)訪問(wèn)日志數(shù)據(jù)

3)解析這些日志數(shù)據(jù)，以增強(qiáng)其可用性

目前，青藤云安全能夠?yàn)镾OC平臺(tái)提供主機(jī)側(cè)高質(zhì)量數(shù)據(jù)，補(bǔ)充現(xiàn)有態(tài)勢(shì)感知的不足，為SOC的發(fā)展源源不斷地注入“源頭活水”。

參與方式

直播時(shí)間：2019年12月10日 20:00——21:20

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。