威脅情報在 SOC 中的價值
越來越多的組織在加入網絡威脅情報的大軍當中——不僅僅是威脅情報的使用者,還是提供者。同時,根據SANS在2021年的網絡威脅情報調查(戳閱讀原文看報告)對自身威脅情報有效性進行評估的企業數量,也從受訪的4%提升到38%。
但是,在集成、自動化、以及威脅情報運營化方面的應用依然較少。該報告也指出,安全團隊在自動化層面更依賴于SIEM,一定程度上也說名了威脅情報在這些領域比較落后的原因。SIEM的存在已經有十幾年,目的是通過取代人工關聯日志,通過將多個供應商的技術標準化并發出警告,來識別可疑的網絡活動。SIEM從一開始就不是服務于完整的威脅情報管理,或者從EDR、NDR、CDR等安全工具集成海量數據。
SOC的核心一度是SIEM,但是隨著SOC的功能開始 偏向于檢測和響應,核心也在改變。檢測和響應能力并不是單一工具所能實現的,而是要延伸到整個生態系統;因此,SOC需要的是一個能集成多種來自內部和外部的威脅以及事件數據源(包括SIEM),以及支持和傳感元的雙向集成能力。擁有這種能力的平臺,才是加速安全運營,并保障現代SOC完成自己使命的核心。
我們可以以SolarWinds的泄露事件為例,看一下這樣的平臺能起到些什么作用。
當SolarWinds事件登上頭條的時候,全球的安全團隊遭到了他們領導團隊的問題轟炸:我們知道哪些關于這次泄露的信息?我們被波及了嗎?如果被波及了,我們能怎么降低風險?如果沒有被波及,我們能做些什么加強防范?各種來源和形態的信息,以及防護手段充斥了整個安全社區,包括新聞報導、博客、安全行業報告、MITRE ATT&CK技術框架、威脅信息的IoC、GitHub代碼庫、Yara和Snort等等。但是,理解手頭信息的具體內容同樣重要。在當前的組織環境、技術棧、網絡結構和風險概況下,最相關、最優先的信息應該是哪些?
首先從檢測開始。安全團隊需要快速理解威脅、調查影響、然后決定采取什么樣的措施。通過平臺自動化收集、統一化并復制來自各種來源的數據——無論是結構化的還是非結構化的、內部的還是外部的,可以生成一份已知信息的信息庫。將事件關聯,并且將內部的環境的指標(包括來自SIEM、日志管理庫、事件管理系統和安全架構的數據)和外部的數據(包括外部指標、攻擊者信息和攻擊方式)進行聯系,形成對攻擊者、攻擊目標、攻擊來源、攻擊時間、攻擊原因和攻擊方式的理解。然后,基于指標來源、類型、屬性、內容,以及攻擊者屬性的參數,修改風險系數以及威脅情報優先級;從而過濾走信息噪音,并著重于對于企業真正重要的情報,而不是浪費時間和資源去捕風捉影。
檢測之后就是響應的工作了。在有上下文關聯的情況下把握住攻擊的整體情況后,安全團隊可以讓數據成為他們架構以及運營的一部分,并且能夠靈活地在手動、自動以及混合模式中切換。他們可以思考組織中哪些其他人也需要能夠看到并理解這些數據,比如網絡安全團隊、威脅情報分析師、威脅獵手、犯罪調查人員、管理層等等,然后進行恰當地分享。安全團隊能將數據導出給現有架構,讓架構中的技術在低誤報的情況下更高效地運作;同樣,安全團隊還能將數據回傳給正確的工具,生成并應用升級后的策略和規則減緩風險。
在事件發生后的數日、數周和數月,安全團隊繼續通過平臺,在收到新數據、信息和觀測的情況下,持續自動化地重新評估情況并修改相關優先級。包括可以用于創建黑名單或者應用簽名的戰術情報,到具體使用技術和工具的運營情報,以及識別潛在威脅份子以及他們目標的戰略情報。安全團隊能夠通過這些情報,確保他們自己的優先級并有問題,并且能夠更快發現事件,做出更有效的決策。
在一個有集成能力、自動化能力和情報運營化能力的現代平臺加持下,安全團隊可以到達威脅情報項目的新高度,包括評估檢測和響應效果的正反饋情況。鑒于SOC正在逐漸成為檢測和響應的部門,有效的評估模型會是最為重要的業績展示。
數世點評:
當人們逐漸意識到,安全是無法完全依靠阻斷保護企業的時候,檢測和響應的價值就顯得無比重要——越早發現,越快采取正確的行動,損失就越低。因此,SOC逐漸向檢測和響應轉移也就不足為奇。但是,精準的檢測和正確的決策離不開有效的情報信息,那威脅情報在SOC中被使用也就水到渠成。但是,企業在對威脅情報的應用過程中,依然要考慮到威脅情報和自身的相關性、集成能力以及自動化能力等因素。威脅情報
