虎符智庫|安全運營中心的演變及未來 - 網安 - 專業的網絡安全產業、社區、知識平臺

網絡安全威脅正變得日益復雜，組織日趨嚴密且資金充沛。人工智能（AI）工具和技術的廣泛采用將導致定制化的、高影響力的網絡攻擊。應對此類攻擊的復雜性和精細化需要充分授權的安全運營中心（SOC）。

安全運營中心是容納網絡安全專業人員的設施，負責實時監測和調查安全事件，利用人員、流程和技術的組合來預防、發現和應對網絡威脅。

安全運營中心負責監測和保護組織的資產，包括知識產權、保密/人員數據、業務系統、關鍵基礎設施和品牌聲譽，使其免受網絡安全威脅。安全運營中心是組織的眼睛和耳朵，當可疑或異常的網絡安全事件發生時發出警報，其能迅速作出反應，以減少對組織的影響。由于安全事件的不利影響，組織正在尋找方法來改善安全運營中心，以降低風險敞口，并維護資產和數據安全。

了解安全運營中心的演變并進行成功構建，可以大幅增強檢測和破壞網絡攻擊的能力，保護組織免受傷害。

安全運營中心的演變

在過去，傳統網絡運營中心（NOC）將重點放在意外事件和響應上，以可用性為主要目標。NOC的主要職責是網絡設備管理和性能監測。

如圖1所示，最初，安全運營中心是為政府和國防組織實施的。早期安全運營中心的主要職責包括處理病毒警報、檢測入侵和應對意外事件。2000年后，大型企業和銀行開始實施類似的監測業務。

信息安全管理標準發布于2005年，合規被加入至安全運營中心的目標中。動態數據包過濾防火墻、反垃圾郵件和漏洞管理以及入侵預防被添加到監測和響應中。

2007年至2013年是安全運營中心進化的黃金時代。許多對安全監控至關重要的關鍵安全解決方案，如數據泄漏預防（DLP）和安全信息與事件管理（SIEM），都是在這個時期進入網絡安全生態系統的。在此期間，高級持續性威脅（APTs）的數量開始急劇增加，在2010年至2011年增長了81%。而安全運營中心在檢測和預防這些威脅方面發揮了主要作用。日志匯總、監管合規、惡意軟件分析和DLP是那個時代安全運營的主要目標。

針對IT和安全運營的管理型安全服務提供商（MSSPs）應運而生。作為一種共享模式，管理型安全服務并非專門為單個組織或實體服務。MSSPs最初由大型企業采用，然后最終被感興趣的中小型組織采用，以滿足其組織安全運營的要求。

在安全運營中心的發展過程中，下一代SIEM進入了安全生態系統和運營之旅。SIEM也被稱為用戶行為分析（UEBA），它基于人工智能（AI）的子集機器學習（ML）。

企業在現有的SIEM技術上部署UEBA，以減少誤報。SIEM是一種基于規則的技術，其在為規則設置的邏輯和閾值之上工作。閾值參數是SIEM技術的主要挑戰，因為不可能保持閾值開放超過幾個小時。如果閾值開放時間過長，那么SIEM的性能將大大降低。自從移動技術的出現，自帶設備（BYOD）和云的采用，身份識別和訪問權限是安全管理的核心組成部分。UEBA/用戶行為分析（UBA）技術使用身份識別和訪問權限來定義正常和異常的用戶和實體行為。

由威脅情報、逆向工程和基于AI/ML的監控技術驅動的安全運營已經改變了下一代安全運營中心。混合型安全運營中心--由MSSP在客戶的場地上部署和運營--在這一時期出現了。混合安全運營中心也被稱為遠程安全運營中心。

2015年，威脅情報平臺（TIPs）、開源情報（OSINT）和商業威脅情報反饋成為安全運維的核心組成部分。威脅情報豐富了事件的背景，并幫助安全分析人員做出決策。威脅情報還有助于了解對手的戰術、行為、工具和程序。基于戰術、技術和程序(TTPs)的威脅搜尋通過早期發現和修復隱藏威脅，為安全運營中心增加了更多價值。

云遷移就開始于這段時間，諸如云訪問安全經紀人（CASBs）在內的云安全解決方案進入了安全市場，為IT和安全社區的影子IT和影子數據帶來了曙光。安全運營中心的監測職責已擴大至包括云，復雜威脅也在這段時間中增加。云安全態勢管理（CSPM）、云工作負載保護平臺（CWPP）、基于云的端點檢測和響應以及基于云的搜尋是現代安全運營所增加的新功能。

網絡防御中心（CDC）、網絡融合中心（CFC）、網絡安全運營中心（CSOC）、網絡安全事件響應小組（CSIRT）和聯合運營中心（JOC）是2015年后為安全運營中心創造的新名稱。安全運營之路始于被動防御，而后轉向主動防御，現在采用自動化手段的主動防御階段。

很快，50%以上的安全運營中心將被遷移到集成了自動威脅搜尋和事件響應功能的現代網絡防御中心（CDC）。尚未踏上安全運營中心之路的組織可以從MSSP開始，然后轉向混合安全運營中心模式，最終達到自己的成熟安全運營中心。現代網絡防御中心（CDC）或網絡融合中心（CFC）提供以下服務：

安全事件監測、檢測、調查、分流
惡意軟件分析、反向工程、數字取證、內部威脅、網絡欺詐
威脅情報平臺管理
威脅搜尋
內容管理
威脅和漏洞管理
合規
報告和通知
培訓
身份和訪問治理

安全運營中心的挑戰

誤報是安全運營中心面臨的最大挑戰（圖2）；50%以上的安全運營中心分析人員的工作被分配用于處理誤報。日志源的整合、開箱即用的用例和未經驗證的規則是造成誤報的主要原因。缺乏事件的背景和基于閾值的關聯規則是安全分析師面臨的挑戰。自從整合AI/ML監控解決方案以來，基于閾值的關聯規則已被轉化為ML模型。這種威脅情報的整合解決了缺少背景的問題。

隨著時間的推移，孤立的解決方案被添加至安全運營中心監測中，安全分析師不得不在多個控制臺之間切換以應對事件。在短時間內對人們進行多種技術培訓是不可能的。記錄和更新安全事件操作手冊/運行手冊以及維護最新的知識庫需要耗費大量經歷，但對于任何安全運營中心都是關鍵。

多點解決方案增加了安全分析員的事件數量。重復性任務和警報疲勞是安全分析員離開安全運營崗位的主要原因。

默認情況下，傳統的SIEM解決方案和下一代SIEM解決方案不具備計算事件的平均檢測時間（MTTD）和平均響應時間（MTTR）的功能。需要手動操作才能實現這些類型的計算和指標。

疫情爆發后的安全運營中心挑戰

如圖3所示，大流行和遠程工作都帶來了網絡安全挑戰。

1. 協作——通常情況下，安全運營團隊會在一個安全的地方聚集，有專門的系統、監視器和網絡，可以輕松協作，當面應對高級威脅。自從新冠肺炎大流行開始，協作成為挑戰，而虛擬協作工具和作戰室是現有的最佳解決方案。

2. SecOps工具——分析師必須通過遠程訪問應對和緩解威脅。訪問專門的SecOps工具是另一個主要挑戰，因為必須啟用多因素身份驗證和安全性。

3. 系統設計——安全運營中心分析師通常使用寬屏雙顯示器和定制硬件工作。在疫情之后，安全運營中心分析師正面臨著用筆記本電腦實現同樣生產力的挑戰。

4. 安全運營團隊的健康——這對任何組織都至關重要。企業領導人必須關注他們的安全運營中心團隊的健康，以繼續對抗當前和未來出現的威脅。

5. 獨立的虛擬專用網絡（VPNs）——對關鍵的SOC系統實施替代性VPN訪問是需要克服的最新挑戰，以便在基礎設施被破壞的情況下允許向下兼容的機制。

6. 新的威脅——雙重敲詐勒索軟件、使用人工智能技術的網絡釣魚、勒索分布式拒絕服務（DDoS）攻擊和特權訪問攻擊等威脅為SOC團隊帶來了新的挑戰。維護安全通信渠道和安全運營技術的獨立VPN是需要克服的最新挑戰。

7. 安全通信——通常情況下，安全運營中心分析師進行面對面的溝通。在在家工作的模式下，傳達工件、證據和屏幕截圖已成為挑戰。

8. 遠程SecOps——安全運營中心是物理站點，不能完全用虛擬環境代替。

構建有效安全運營中心的策略

在人員、流程和先進的下一代技術的幫助下，組織可以利用最少的資源和時間從安全運營中心中獲益（圖4）。構建一個有效的安全運營中心需要了解組織的需求以及其局限性。一旦了解了組織的需求和局限性，以下的最佳實踐將幫助組織在預算范圍內利用正確的工具和技術構建有效的安全運營中心。

一致地執行管理贊助

首席信息安全官（CISO）或首席信息官（CIO）應審定安全運營中心的范圍，并持續監控項目的實施進度。執行管理層必須對預算進行審查并做出決定，包括選擇合適的工具和技術以及提供的安全運營中心服務。CISO/CIO和安全運營中心架構團隊必須根據成本、內部和外部技術資源的可用性以及監管和合規要求，決定是否實施內部管理的安全運營中心、MSSP或混合安全運營中心（圖1）。

選擇合適的人

建立有效的安全運營中心包括多個階段：計劃、設計、建設、運營、測量和優化。每個階段都需要一套不同的能力和技能，包括差距評估、安全運營中心設計、基礎設施設計、設施管理、電氣工程、網絡工程、SIEM工程、事件響應工作流程、漏洞管理、事件關聯和數據分析、操作手冊開發和自動化、技術集成、安全風險管理、惡意軟件分析、入侵檢測和響應、身份和訪問分析、安全分析、威脅情報、威脅搜尋和取證。

建立SOC組織結構、指導委員會和管理團隊

這通常是實施SOC項目的第一步。指導委員會審查項目實施的進展情況，并向執行管理層提供最新信息。指導委員會應該有來自IT、安全工程、事件響應、風險管理、數據隱私、各業務部門和人力資源的領導。治理團隊和指導委員會必須決定并記錄SOC所提供的服務，以及從安全風險角度對組織的好處。

人員、流程和技術的整合

必須對安全運營中心組件進行評估，以改進安全運營中心的服務和成熟度（圖4）。目前有各種安全運營中心成熟度評估模型，包括CREST和SOC-CMM，可以根據組織的需求選擇最佳方案。安全運營中心組件評估的目的是了解SOC是如何管理威脅和風險的，以及安全運營中心戰略是如何與業務戰略保持一致的。評估中發現的差距應被用于提高SOC組件的有效性和成熟度。

安全協調自動化和響應（SOAR）解決方案2017年后進入了安全運營中心領域，解決了此前的諸多挑戰。多點解決方案與威脅情報、重復性任務的端到端自動化、事件響應、操作手冊/運營手冊的動態更新、背景信息豐富化、MTTD、MTTR計算和事件優先化的協調編排，使安全分析變得更加容易。

漏洞攻擊模擬和網絡安全靶場（圖4）是現代安全運營中心的新能力。網絡安全靶場幫助安全運營中心培訓安全分析師，通過模擬網絡安全演習來對抗復雜的威脅。破壞性攻擊模擬（BAS）技術幫助安全分析員和其領導了解在不干擾生產基礎設施的情況下針對最新威脅所實施的安全管控措施的有效性。BAS還可以幫助首席信息安全官（CISO）優化和論證各種安全管控措施的安全投資。

用例開發和分析取決于相關數據的收集收集

來自各種日志源的事件日志、來自網絡設備的網絡流量和來自深度數據包檢測解決方案的網絡數據包，并對其進行匯總、重復數據刪除和分析，以進行安全監測。在實施之前，工程團隊應該從安全運營中心指導委員會那里得到以下問題的答案，以減少誤報。

哪些設備和技術需要被監控？
必須生成和收集哪些日志事件
應該提出哪些安全警報？
根據安全運營中心的目標以及合規性和監管要求，應如何、在何處以及以何種頻率從各種日志源收集日志？

誤報是所有安全運營中心的主要挑戰（圖2），它們可以通過收集相關可操作數據和豐富基于相關可操作威脅情報的背景信息來避免。在為安全運營中心開發用例之前，必須實施用例開發框架。對于確定用于安全監測的所有用例，以下內容必須記錄為用例開發的一部分（圖5）。

用例的目標、目的和對象
該用例將解決的威脅
利益相關者及其在用例和事件響應工作流程中的角色和責任
要關聯的數據源
檢測威脅的相關規則/數據模型的邏輯和語法
語法和邏輯的驗證/測試
基于風險和影響的警報的優先級
響應措施/緩解措施/作為事件響應的一部分應遵循的步驟

安全運營從被動到主動的路徑這是處理快速變化的威脅面的關鍵：根據預先確定的目標，主動分析應用程序、基礎設施和網絡威脅，并制定對策，以防止攻擊和減輕損害。漏洞準備評估可以幫助識別安全架構中的盲點并部署安全管控措施。可能的攻擊者特征、最可能的攻擊載體和攻擊者最想要的資產是識別威脅的關鍵。網絡威脅情報是安全運營的關鍵推動因素，為整個組織的決策和行動提供必要的背景。結構良好的網絡威脅情報為利益相關者服務。網絡威脅情報與現有流程和基礎設施的集成有助于更深入地了解組織網絡之外發生的情況，給組織基礎設施帶來最大風險的網絡威脅從而可以清晰可見。

威脅狩獵是作為高級的安全分析過程，它利用對網絡或組織的深入了解來捕獲更隱蔽、更深入的攻擊者。威脅狩獵為防御者提供工具，通過積極尋找異常和可疑行為來縮小差距。防御者可以在威脅反饋出現之前識別TTP的變化。威脅情報和威脅搜尋功能的存在是為了加強組織中的其他團隊。因此，威脅情報和狩獵團隊必須納入了解核心業務、運營工作流程、網絡基礎設施、風險狀況和供應鏈以及技術基礎設施和軟件的人員。

對端點的主動監測是至關重要的，因為端點是大多數入侵行動的開始和結束之地。如果定期使用端點檢測和響應（EDR）功能來捕獲未經過濾的數據并進行持續監測，則是非常有用的。

XDR：SOC下一步？

拓展檢測和響應（XDR）以及IT、OT、ICS的集成可能是安全運營中心演化的下一個方向。XDR是從目前的被動威脅檢測和響應解決方案演變而來，集成了安全技術信號，以跨身份、端點、云和網絡提取威脅事件。XDR的功能包括身份分析、網絡分析、綜合威脅情報、基于AI/ML的檢測，以及自動和協調的調查響應。

XDR將改變安全運營中心的運作方式，在以下方面為安全分析師提供支持：

完成自動化和編排的調查，以減少檢測和分流的時間。
揭示根源分析，并通過跨表面的關聯獲得非凡的態勢感知。
追蹤多個系統組件的威脅。
提高檢測和響應速度。
消除整合和維護日志源所需的工作。
通過基于云的大數據湖增加可擴展的存儲和計算。
提高安全運營中心的生產力。

制造業已經加快了數字化轉型，以實現其流程的自動化并在市場上具有競爭力。OT被用于管理諸如在制造業中發現的那些工業操作。這延伸覆蓋至ICSs和ICS管理框架以及監督控制和數據采集系統（SCADA）。

OT和ICS網絡依賴數字系統來進行日常運作。OT/ICS的連接增加，將導致針對OT/ICS網絡的網絡安全威脅增加。通過將OT與IT融合，制造企業以前使用的孤立的受保護系統現在也面臨著通常針對IT系統的同樣類型的安全威脅。針對OT/ICS網絡最常見的網絡攻擊是協議漏洞攻擊、數據泄漏、遠程訪問木馬、勒索軟件、僵尸攻擊和分布式拒絕服務（DDoS）攻擊。

要管理針對IT/OT系統和網絡的復雜網絡威脅，非常需要IT和OT 安全運營中心的整合。擁有OT和ICS作為其基礎設施一部分的組織將能夠實現對OT系統的安全監測。OT SOC可以與IT SOC融合。IT、SecOps和OT團隊之間的協作對于IT/OT SOC的成功整合至關重要。在團隊之間建立溝通和信任對于創造牢固的合作伙伴關系非常關鍵。IT/OT 安全運營中心的整合將通過以下方式保護OT系統：

持續發現資產和行為分析（設備類型、網絡行為、活動監測）。
漏洞生命周期管理和配置合規性
對OT/ICS/SCADA系統進行持續監測，以發現網絡威脅并作出反應
應對訪問異常情況
深度數據包檢查
針對OT/ICS的威脅情報

總結

雖然網絡安全專業人員面臨的威脅不斷演變和擴散，但必須跟蹤新出現的威脅并調整新的意識形態來應對這些威脅，包括發展安全運營中心。這包括大流行病的影響和必須采用的技術來克服它，這樣生理上的病毒就不會耗盡安全運營中心的人際互動。隨著網絡犯罪分子和民族國家資助的攻擊者發起越來越復雜的攻擊，以竊取敏感數據和破壞業務，安全運營中心是專門的前線團隊，保持24/7/365的頻率工作，以阻止這些威脅。

在當今的數字化經濟中，安全運營中心對所有類型和規模的組織都至關重要，因為一個組織的許多業務和敏感數據都在網上和云中。為了打擊網絡犯罪分子，需要采用現代的安全運營中心運營方式，關鍵的最佳實踐如下：

建立安全運營中心治理、衡量標準和報告機制。
通過制定人才戰略、使用相關技術和創造好奇心文化，投資于建立擁有合適人才的安全運營中心。
部署AI/ML系統和全面的威脅情報，以自動執行高度重復和單調的任務。
了解硬件/軟件/網絡/IOT/OT資產，并根據優先級持續緩解漏洞和配置錯誤。
確保整個組織網絡的持續可見性。
通過威脅搜尋、漏洞攻擊模擬，建立主動的事件檢測和補救措施。
堅持使用網絡靶場和模擬解決方案對安全運營中心分析員進行實際知識培訓。
利用網絡安全評估和安全運營中心成熟度評估，不斷測試和更新安全運營中心檢測/預防策略。
與IT部門和業務部門合作，使安全運營中心戰略與業務戰略保持一致。
不斷地調整和修改網絡安全防御措施。（本文譯自www.isaca.org/）