Uber|未来的SOC安全运营中心需要补充三大能力:数据、开放式集成框架和自动化

Uber|未来的SOC安全运营中心需要补充三大能力:数据、开放式集成框架和自动化

文章图片


Google在此前发布的《自动化安全运营中心SOC建设指南》中提到 , 数字化转型已经成为全球既定的发展方向 , 企业上云也因此成为必选项 。 但与之同时 , 数字化转型既给企业带来了更加创新和高效的模式 , 也将企业信息安全的管理难度推向了新的高度 。
当越来越多的资产走向云端并成为攻击者的目标 , 组织暴露在外部的攻击面也越来越大 , 传统安全运营模式已经无法跟上节奏 。 安全运营团队需要一个全新的运营模式 , 以便在数字原生世界保护企业业务的发展 , 也是数字化时代预防、检测与应对安全威胁必不可少的举措 。
安全运营离不开自动化安全运营中心(SOC) , 面对更加复杂更加严峻的网络攻击威胁 ,
SOC安全运营中心需要更快、更彻底的解决中包括:警报风暴、鱼叉式网络钓鱼、事件响应、威胁搜寻和威胁情报管理等在内的安全运营难题 , 而这一切只能通过正确的架构方法来实现 。
为了更高效和更有效 , 未来的SOC应该做出哪些变革?或许数据、开放式集成框架和平衡自动化是未来 SOC 的答案 。

数据驱动是SOC安全运营中心的命脉数据是安全的命脉 , 因为它提供了来自广泛的内部和外部来源的上下文 , 包括系统、威胁、漏洞、身份等等 。 当安全性由数据驱动时 , 团队可以专注于相关的高优先级问题 , 做出最佳决策并采取正确的行动 。 数据驱动的安全性还提供了一个持续的反馈循环 , 使团队能够捕获和使用数据来改进未来的分析 。
那么 , 组织应该如何帮助SOC专注于数据呢?
首先应该从组织环境内部聚合事件和相关指标 , 例如组织内部的 SIEM 系统、日志管理存储库、端点检测和响应 (EDR)、案例管理系统和其他安全基础设施 。 通过关联这些数据以连接各个点并了解事件如何相互关联 , 并使用来自订阅的多个来源(商业、开源、政府、行业、现有安全供应商)的威胁情报数据自动扩充和丰富这些数据 , 以及像 MITRE ATT&CK 这样的框架 。 对来自不同来源、格式和语言的所有这些数据进行规范化 , 以便对数据进行更深维度的分析 。
其次 , 组织可以将环境内部的事件和相关指标与指标、对手及其方法的外部数据相关联 ,通过了解与组织的相关性 , 确定应当首先关注的正确数据 , 以及哪些可以作为外围数据 , 进而更高效开展数据分析工作 。
分配风险评分的能力使安全团队可以根据组织所在行业特定的风险概况对数据进行优先级排序 。 使用围绕源、类型、属性和上下文以及对手属性设置的参数来过滤掉噪音 , 并优先考虑真正重要的事情 。
数据驱动安全的方法能够在企业内部构造一个安全闭环 , 根据优先级、威胁、活动和漏洞等相关数据不断更新 , 收集更多数据和上下文 , 并通过数据分析和应用来更新优先级和评分以实现持续改进 。 但事实上 , 专注于数据的能力只是未来 SOC 需要高效和有效的核心能力之一 。
开放式集成框架是未来SOC的第二大核心首先必须强调的是 , 未来的 SOC 必须是数据驱动的 , 因此系统和工具必须能够协同工作 , 并且需要确保数据能够在整个基础框架中有序流动 。 开放的重要性在今天已经无需多言 , 无论是SOC还是XDR , 只有基于开放式的架构方法才能够有效的运转 。
事实上 , 安全分析所需要的数据来自多种不同的技术、威胁源和其他第三方来源 。 一份业内的研究曾提到 , 平均而言 , 一家大型组织机构可能会拥有45 种不同的安全工具 。 通常而言 , 组织会依赖某一家“大型供应商”来集中解决其中大部分安全任务 , 但仍然也会采购几家小型供应商 , 以补充大型供应商覆盖面的不足 。 组织内部的安全协同需要一个集成工具来完成 , 一个开放的集成架构将解决所有这些场景:与当今的安全团队合作 , 实现与各个工具的集成 。