安全操作通常包含在 SOC ("Security Operations Center") 中。术语可以互换使用。
通常,SOC 的职责是检测环境中的威胁并阻止它们发展成代价高昂的问题。
大多数系统生成的日志通常包含重要的安全信息。
事件只是我们可以根据网络日志和信息确定的观察结果,例如:
事件是指我们认为会对我们的组织产生影响的负面事件。这可能是一个明确的威胁,也可能是这种威胁发生的可能性。 SOC 应尽力确定哪些事件可以归结为实际事件,哪些应该做出响应。
SIEM 根据来自网络中不同传感器和监视器的日志来处理警报,每个传感器和监视器都可能生成对于 SOC 做出响应很重要的警报。 SIEM 还可以尝试关联多个事件以确定警报。
SIEM 通常允许分析以下领域的事件:
来自网络的事件是最典型的,但值最低,因为它们不包含所发生事件的全部背景。网络通常会揭示谁在哪里、通过哪些协议以及何时进行通信,但不会揭示有关发生了什么、针对谁以及为什么发生的复杂细节。
主办活动提供了有关实际发生的事情以及发生在谁身上的更多信息。加密等挑战不再模糊,人们对正在发生的事情有了更多的了解。许多 SIEM 都包含有关主机本身(而不仅仅是网络)发生的情况的详细信息。
来自应用程序的事件是 SOC 通常最能了解正在发生的情况的地方。这些事件提供有关 Triple A、AAA ("Authentication, Authorization and Account") 的信息,包括有关应用程序如何执行以及用户正在执行的操作的详细信息。
为了让 SIEM 理解来自应用程序的事件,通常需要 SOC 团队的工作才能使 SIEM 理解这些事件,因为通常不包括支持"out-of-the-box"。许多应用程序都是组织专有的,而 SIEM 尚未了解应用程序转发的数据。
SOC 的人员配置根据组织的要求和结构的不同而有很大差异。在本节中,我们将快速浏览一下运营 SOC 所涉及的典型角色。潜在角色概述:
与大多数有组织的团队一样,会任命一个角色来领导该部门。 SOC 负责人决定应对组织威胁所涉及的战略和战术。
SOC 架构师负责确保系统、平台和整体架构能够提供团队成员履行职责所需的内容。 SOC 架构师将帮助跨多个数据点构建关联规则,并确保传入数据符合平台要求。
分析师负责人负责开发和维护流程或手册,以确保分析师能够找到得出警报和潜在事件所需的信息。
1 级分析师是警报的第一响应者。他们的职责是在其能力范围内结束警报并将任何问题转发给更高级别的分析师。
2 级分析师的特点是拥有更多的经验和技术知识。他们还应确保将解决警报中的任何问题转发给分析师主管,以帮助持续改进 SOC。 2 级人员与分析师主管一起将事件上报给事件响应团队。
IRT ("Incident Response Team") 是 SOC 团队的自然延伸。 IRT 团队的部署是为了修复和解决影响组织的问题。
理想情况下,渗透测试人员还支持防御。渗透测试人员对攻击者的操作方式有着复杂的了解,可以帮助分析根本原因并了解入侵是如何发生的。合并攻击和防御团队通常称为紫色团队,被认为是最佳实践操作。
有些警报需要立即采取行动。对于 SOC 来说,定义不同事件发生时的联系流程非常重要。事件可能发生在许多不同的业务部门,SOC 应该知道联系谁、何时以及使用哪种通信媒介。
影响组织某一部分的事件的升级链示例:
事件应根据以下情况进行分类:
根据事件分类及其归因方式,SOC 可能会采取不同的措施来解决当前的问题。
事件的类别将决定如何应对。事件存在多种类型,SOC 了解每种事件类型对组织意味着什么非常重要。事件示例如下:
事件的严重性是根据受影响的系统数量、不阻止事件的潜在影响、涉及的系统以及许多其他因素来确定的。对于 SOC 来说,能够准确确定严重程度非常重要,这样才能相应地结束事件。关键程度决定了对事件的响应速度。
该事件应该立即响应还是团队可以等到明天?
敏感性决定了应该向谁通知该事件。有些事件需要极其谨慎。
为了应对威胁行为者的进步,自动化是现代 SOC 足够快速响应的关键。为了促进对事件的快速响应,SOC 应具有可用于自动编排解决方案以响应环境中的威胁的工具。
SOAR 策略意味着确保 SOC 可以使用可操作的数据来帮助减轻和阻止比以前更加实时地发展的威胁。在传统环境中,攻击者从受到危害到蔓延到邻近系统只需要很短的时间。与此相反,组织通常需要很长时间才能检测进入其环境的威胁。 SOAR 试图帮助解决这个问题。
SOAR 包括 IAC "Infrastructure as Code" 等概念,以帮助重建和修复威胁。 SDN ("Software Defined Networking") 可以更流畅、更轻松地控制访问,等等。
可以跨许多不同的设备收集事件,但我们如何确定要收集和监视的内容?我们希望原木具有最高的质量。相关且可识别的高保真日志可快速阻止我们网络中的威胁行为者。我们还希望攻击者很难绕过我们配置的警报。
如果我们研究不同的方法来捕获攻击者,我们应该关注的重点就变得很明显了。以下是我们可以用来检测攻击者的可能指标列表,以及攻击者改变的难度。
Indicator | Difficulty to change |
---|---|
File checksums and hashes | Very Easy |
IP Addresses | Easy |
Domain Names | Simple |
Network and Host Artifacts | Annoying |
Tools | Challenging |
Tactics, Techniques and Procedures | Hard |
文件校验和和哈希可用于识别攻击者使用的已知恶意软件或工具。对于攻击者来说,更改这些签名被认为是微不足道的,因为他们的代码可以通过多种不同的方式进行编码和更改,从而使校验和和哈希值发生变化。
IP 地址也很容易更改。攻击者可以使用来自其他受感染主机的 IP 地址,或者仅使用不同云和 VPS ("Virtual Private Server") 提供商丛林中的 IP 地址。
攻击者也可以很容易地重新配置域名。攻击者可以将受感染的系统配置为使用 DGA ("Domain Generation Algorithm") 随着时间的推移不断使用新的 DNS 名称。一周内,受感染的系统使用一个名称,但下周该名称会自动更改。
网络和主机工件的更改更烦人,因为这对攻击者来说涉及更多更改。他们的实用程序将具有可由 SOC 获取的签名,例如用户代理或缺少签名。
对于攻击者来说,改变工具变得越来越困难。不是工具的哈希值,而是工具在攻击时的行为和操作方式。工具将在日志中留下痕迹,加载库和其他我们可以监控以检测这些异常的东西。
如果防御者能够识别威胁行为者使用的策略、技术和程序,那么攻击者就更难实现其目标。例如,如果我们知道威胁行为者喜欢使用鱼叉式网络钓鱼,然后通过点对点方式连接到其他受害者系统,防御者就可以利用这一点来发挥自己的优势。防御者可以重点对面临鱼叉式网络钓鱼风险的员工进行培训,并开始设置障碍以拒绝点对点网络。