网络安全安全操作
安全操作通常包含在 SOC("安全操作中心")中。 术语可以互换使用。
通常 SOC 的职责是检测环境中的威胁并阻止它们发展为代价高昂的问题。
SIEM("安全信息事件管理")
大多数系统会生成通常包含重要安全信息的日志。
事件只是我们可以从网络日志和信息中确定的观察结果,例如:
- 用户登录
- 在网络中观察到的攻击
- 应用程序内的事务
事件是我们认为会影响我们组织的负面事件。 这可能是一个明确的威胁或这种威胁发生的可能性。 SOC 应尽最大努力确定哪些事件可以归结为实际事件,哪些应该做出响应。
SIEM 根据来自网络中不同传感器和监视器的日志处理警报,每一个都可能产生对 SOC 响应很重要的警报。 SIEM 还可以尝试关联多个事件以确定警报。
SIEM 通常允许分析来自以下领域的事件:
- Network
- Host
- Applications
来自网络的事件是最典型的,但价值最低,因为它们不包含所发生事件的全部背景。 该网络通常会显示谁在何处、通过哪些协议以及何时进行通信,但不会显示有关发生了什么、对谁以及为什么进行的复杂细节。
主机事件提供有关实际发生的事情和对象的更多信息。 加密等挑战不再模糊,对正在发生的事情有了更多的了解。 许多 SIEM 都包含有关主机本身发生的事情的详细信息,而不仅仅是来自网络。
来自应用程序的事件通常是 SOC 最能了解正在发生的事情的地方。 这些事件提供有关 Triple A、AAA("身份验证、授权和帐户")的信息,包括有关应用程序如何执行以及用户正在做什么的详细信息。
要让 SIEM 了解来自应用程序的事件,通常需要 SOC 团队的工作才能让 SIEM 了解这些事件,因为通常不包括"开箱即用"的支持。 许多应用程序是组织专有的,SIEM 尚未了解应用程序转发的数据。
SOC 人员配置
SOC 的人员配备方式因组织的要求和结构而异。 在本节中,我们将快速了解运营 SOC 所涉及的典型角色。 潜在角色概述:
与大多数有组织的团队一样,会指定一个角色来领导部门。 SOC 负责人确定应对针对组织的威胁所涉及的战略和战术。
SOC 架构师负责确保系统、平台和整体架构能够交付团队成员履行职责所需的内容。 SOC 架构师将帮助构建跨多个数据点的关联规则,并确保传入数据符合平台要求。
Analyst Lead 负责开发和维护流程或操作手册,以确保分析师能够找到必要的信息来结束警报和潜在事件。
1 级分析师充当警报的第一响应者。他们的职责是在他们的能力范围内完成警报并将任何问题转交给更高级别的分析师。
2 级分析师的特点是拥有更多的经验和技术知识。他们还应确保将解决警报的任何问题转发给分析师主管,以帮助持续改进 SOC。 2 级人员与分析师主管一起将事件上报给事件响应团队。
IRT("事件响应团队")是 SOC 团队的自然延伸。 IRT 团队负责补救和解决影响组织的问题。
理想情况下,渗透测试人员也支持防御。渗透测试人员对攻击者的运作方式有着复杂的了解,可以帮助分析根本原因并了解入侵是如何发生的。合并攻击和防御团队通常被称为 Purple Teaming,被认为是最佳实践操作。
警报升级链
某些警报需要立即采取措施。 对 SOC 而言,重要的是要确定在发生不同事件时与谁联系的流程。 事故可能发生在许多不同的业务部门,SOC 应该知道联系谁、何时以及通过何种通信媒介。
影响组织某一部分的事件的升级链示例:
- 在指定的事件跟踪系统中创建一个事件,将其分配给正确的部门或人员
- 如果部门/人员未采取直接行动:向主要联系人发送短信和电子邮件
- 如果仍然没有直接行动:打电话给主要联系人
- 如果仍然没有直接行动:致电第二联系人
事件分类
应根据以下事件对事件进行分类:
- 类别
- 关键性
- 灵敏度
根据事件分类及其归因方式,SOC 可能会采取不同的措施来解决手头的问题。
事件的类别将决定如何应对。存在多种事件,对于 SOC 来说,了解每种事件类型对组织意味着什么很重要。下面列出了示例事件:
- 内部黑客攻击
- 客户端工作站上的恶意软件
- 蠕虫在网络中传播
- 分布式拒绝服务攻击
- 凭据泄露
事件的严重性取决于有多少系统受到影响、不停止事件的潜在影响、涉及的系统以及许多其他因素。重要的是 SOC 能够准确地确定危急程度,以便相应地关闭事件。严重性决定了对事件的响应速度。
事件应该立即响应还是团队可以等到明天?
敏感性决定了谁应该被告知事件。有些事件需要极其谨慎。
SOAR("安全编排、自动化和响应")
为了应对威胁参与者的进步,自动化是现代 SOC 足够快速响应的关键。 为了促进对事件的快速响应,SOC 应具有可用于自动编排解决方案以响应环境中的威胁的工具。
SOAR 战略意味着确保 SOC 可以使用可操作的数据来帮助缓解和阻止比以前更实时发展的威胁。 在传统环境中,攻击者从入侵到扩散到邻近系统需要很短的时间。 与此相反,组织通常需要很长时间才能检测到已进入其环境的威胁。 SOAR 试图帮助解决这个问题。
SOAR 包含 IAC"基础架构即代码"等概念,以帮助重建和修复威胁。 SDN("软件定义网络")可以更流畅、更轻松地控制访问等等。
监控什么?
可以在许多不同的设备上收集事件,但我们如何确定要收集和监控的内容? 我们希望原木具有最高质量。 相关且可识别的高保真日志可快速阻止我们网络中的威胁参与者。 我们还想让攻击者难以绕过我们配置的警报。
如果我们寻找不同的方法来捕捉攻击者,那么我们应该关注的重点就很明显了。 以下是我们可以用来检测攻击者的可能指标列表,以及攻击者改变的难度。
指标 | 难以改变 |
---|---|
文件校验和和哈希 | 很简单 |
IP 地址 | 简单 |
域名 | 简单 |
网络和主机工件 | 烦人 |
工具 | 挑战 |
战术、技术和程序 | 困难 |
文件校验和和哈希可用于识别已知的恶意软件或攻击者使用的工具。更改这些签名对于攻击者来说被认为是微不足道的,因为他们的代码可以以多种不同的方式进行编码和更改,从而使校验和和哈希值发生变化。
IP 地址也很容易更改。攻击者可以使用来自其他受感染主机的 IP 地址,或者只是使用不同云和 VPS("虚拟专用服务器")提供商丛林中的 IP 地址。
域名也可以很容易地被攻击者重新配置。攻击者可以将受感染的系统配置为使用 DGA("域生成算法")随着时间的推移不断使用新的 DNS 名称。受感染的系统一周使用一个名称,但下一周该名称已自动更改。
更改网络和主机工件更烦人,因为这涉及到攻击者的更多更改。他们的实用程序将具有可由 SOC 获取的签名,例如用户代理或缺少用户代理。
攻击者越来越难以更改工具。不是工具的哈希值,而是工具在攻击时的行为和操作方式。工具会在日志中留下痕迹、加载库和其他我们可以监控以检测这些异常的东西。
如果防御者能够识别攻击者使用的战术、技术和程序,攻击者就更难达到他们的目标。例如,如果我们知道攻击者喜欢使用鱼叉式网络钓鱼,然后通过其他受害者系统进行点对点透视,则防御者可以利用这一点。防御者可以将培训重点放在面临鱼叉式网络钓鱼风险的员工身上,并开始设置障碍来拒绝点对点网络。