安全分析师到底需要什么样的 SOC

安全分析
收藏
0 463
Sunny912
ct 未认证 2020-09-04 17:26:13
付费话题:0 积分

1. 必须支持分布式

安全对抗越来越激烈,企业需要保护的资产越来越多,蓝队采用的防护设备与安全工具越来越多,SANS 在2018年的一个调查报告中,有将近 20%的组织使用了4个以上的终端安全管理工具,甚至有个别组织,使用了超过20个的工具(如下图所示)。

/uploads/article/20200903/0bf81d35432a829d8e3829a5c439914c.png
面对这么多安全工具,我们心中肯定都会有这样的疑问:

  • - 它们都能起到应有的作用么?

  • - 他们的效果是 1+1>2 么?

  • - 为什么不把这些所有的数据都送给 SIEM 来管理呢?

把所有的数据都送进 SIEM ,SIEM 本身的压力会越来越大,这个压力不仅体现在存储,还有关联分析、范化、处理等等方面。这正是现在的 SIEM 产品转向大数据、分布式处理的一个重要的原因,也可以解释我们 Cybersky 系列产品(LAS,SOAR,UEBA,SAP)设计之初,一定要支持分布式布署的原因。

有了 SIEM 或 SOC,安全分析师面临的问题是数据大爆炸,告警误报太多,那么如何解决这个问题呢?我们的回答是:减少人工操作,尽量利用自动化工具,比如:可以跟我们的 Cybersky-LAS,Cybersky-SAP 等产品可以进行无缝整合的 Cybersky-SOAR。

2. 机器能干的就别麻烦人

Cybersky-SOAR 能解决什么问题?SOAR 的产生是实战化安全运营的必然要求。随着热门越来越注重安全运营,尤其是希望真正能够落地运营,提升对抗的能力和效果,安全运营团队(尤其是大型的)基本都面临5个挑战:

(1)人少事多:团队人员少,但事情多,压力大,工作负荷高,重保期间更是不堪重负,无法保持持续的工作强度和能力。而稍有松懈,就可能在对抗中前功尽弃。

(2)告警疲劳:需要处理的告警太多,尽管部署了各种“精准”的检测设备,但需要处置的告警依然很多,处置的过程也很繁琐。

(3)响应太慢:千辛万苦定位了问题,遏制、阻断和恢复的处置响应过程十分复杂,需要在不同的安全工具和系统之间来回切换,审批也不够及时,流程也不清晰。

(4)知识流失:安全运营、响应处置的过程主要靠经验,而有经验的运维人员的操作过程都在他们的脑子里,纸面化的操作规程操作性不强,各种经验和处置的过程缺乏总结积累和固化,运营知识随着人员的流动而流失。

(5)缺乏协同:这条是对前面4条的总结,本质上就是因为人与人、人与工具、工具与工具之间缺乏有效的协同联动,安全运营工作基本都是碎片化的,个人英雄主义色彩的。

我们可以充分利用 Cybertron-SOAR,尽可能解放安全分析师枯燥重复的工作,从而可以专注于创造性的工作:

  • - 自动化调查

  • - 自动化补全事件

  • - 自动化响应流程

  • - 自动化告警关联

  • - 自动化阻断

3. 必须有全局视图,且要能够因人而异

对于一个 SOC,安全分析师需要的是什么呢?哪些告警是必须马上处理的?当前的攻击态势如何?哪些资产必须被特别关注?

我们需要提供一个全局的企业安全态势视图,除了全局的视图以外,太多的安全工具,提供了太多的数据给安全分析师,有时候,这些数据是安全分析师并不关心的,或者是受限于自己的经验,无法理解的数据,对于不同的分析师,可能只能处理与响应跟自己的水平或职责相关的告警,那么就希望不同的安全分析师,需要看到跟自己密切相关的信息,Cybersky 中高度灵活的、可以自定义的仪表板,正是为解决这样的问题而设计的,每个安全分析师,都可以有跟自己的职责相匹配的工作台面板。

4. 可以跟更多的第三方工具合作

在事件调查时,我 可能可能需要去查找第三方的威胁情报,对于某些严重的攻击事件,我们可能需要第一时间阻断,这样就需要一个开放的平台,可以跟各种各样的安全工具合作、联动(如下图)。

/uploads/article/20200903/0337c900847c76ea6c183dda8a9bc87c.png

5. 告警合并与异常关联

我们有多个检测引擎,比如关联分析,比如行为分析,专项分析,用户分析等,可能会生成多个不同的告警,那么这些告警是孤立的,还是相互关联的?这就是告警合并与异常关联需要解决的问题。


回帖
  • 消灭零回复