| 導讀 | 今年的年度安全運營中心(SOC)調查中,SANS研究所指出了4個最爲常見的SOC弱點。這些弱點的根源可被追溯到我們非常熟悉的人、過程、適度規劃和技術實現上。下面我們就來看看SOC的四大弱點究竟是哪些,安全團隊又能對此做些什麼。 |
大多數情況下,SANS調查中受訪者最爲困擾的安全運營中心相關問題,是可以通過計劃、策略和流程的正確組合來解決的。
今年的年度安全運營中心(SOC)調查中,SANS研究所指出了4個最爲常見的SOC弱點。這些弱點的根源可被追溯到我們非常熟悉的人、過程、適度規劃和技術實現上。
下面我們就來看看,SOC的四大弱點究竟是哪些?安全團隊又能對此做些什麼呢?
1. 自動化/編排
大多數SOC的自動化和編排程度都不高,因爲SOC團隊不知道應該自動化哪些過程。公司企業的員工是第一道防線。可以從採訪SOC人員以瞭解他們的職責和發現可重複過程開始,比如IP/URL信譽、whois信息等事件證據的繁瑣收集過程。這些過程由人來做很耗時間,但卻很容易自動化。
下一步,進行風險評估和安全評估以識別資產和漏洞,提供監測安全監視效率的指標。這些數據點有助於暴露出能夠自動化的可重複過程。
安全工具間缺乏集成也是自動化和編排的阻礙。由於公司企業採用多層防禦來抵禦多線程攻擊,安全團隊往往缺乏對自身產品架構和相互間如何協同工作的清晰認知。
不幸的是,這個問題並不好解決。有些替代方案包括執行概念驗證(PoC)和鼓勵安全供應商多瞭解公司的具體環境。這麼做可以讓SOC評估新產品,發現漏洞,在部署之前將錯漏都糾正過來。
最後,缺乏恰當過程和操作手冊的SOC通常其安全項目的成熟度也不高。對於這些公司,與託管安全服務提供商或託管檢測及響應服務合作是不錯的選擇。
2. 資產發現與庫存管理
資產庫存與管理很難。即便有自動化工具幫忙,該任務對技術團隊而言仍是個沉重的負擔,尤其是在最初的時間及精力的前期投入上。當今這個講求即時滿足的世界,大多數公司企業都希望只要投入某個工具,馬上就能看到業務過程的加快。但鑑於IT環境和技術的動態本質,SOC團隊往往不得不擼起袖子親自下場幹活,工具的效率提升效果並不太高。
任何資產管理項目都要求良好的規劃和對環境的完全理解。如果缺乏這些關鍵步驟,任何工具都不會達到預期。對公司環境做個風險及安全評估是個良好的開端。漏洞評估的發現階段將產出能作爲起點使用的基線。但需要記住的是,安全領域不存在通用解決方案,公司企業應預期資產管理解決方案實現過程中的挫折與反覆。不過,一旦正確部署,便能享受源源不斷的長期紅利。
3. 人工事件關聯
聽起來似乎有點反直覺,但確實是個不錯的解釋。部署SIEM並不是按個開關再指定幾個日誌源那麼簡單的事。公司企業必須瞭解自身日誌源和這些源所提供的整體可見性。
爲獲得這一可見性,網絡審計是必不可少的步驟。審計結果可以發現應設置網絡分接器的位置、應保持通聯的設備,還有應避免的漏洞或阻礙。Web代理屏蔽或DHCP短租約之類的阻礙可能會導致調查人員無法定位潛在受害者,限制公司SIEM執行恰當的事件關聯動作。瞭解這些漏洞和SIEM的限制可以幫助SOC更好地摸清仍需人工關聯的地方。
4. SOC/NOC融合
這一缺陷是個文化問題。SOC團隊的任務是檢測和防護,而網絡運營團隊(NOC)的任務是保持正常運行和系統可用性。兩個團隊之間經常發生衝突。比如說,長久以來的最小權限衝突。NOC團隊希望掌握暢行無阻的高權限。SOC團隊則致力於封鎖環境以發現可能標誌着惡意行爲的異常。
更糟的是,兩支團隊通常都人手不足,維護網絡可用性和保護網絡安全的相關責任堆成山。爲彌合這一缺口,公司企業可以施行明確了SOC和NOC團隊間衝突解決規則的過程及程序,讓兩個部門都有清晰的指導方針可供互動。
有了合適的規劃和部署,再輔以正確的過程及程序,大多數公司企業都可以跨越SOC弱點。至於缺乏適當資源或安全項目成熟度不足的公司,託管安全服務提供商或託管檢測及響應服務都是不錯的選擇。
SANS研究所的年度安全運營中心(SOC)調查地址:
https://www.sans.org/reading-room/whitepapers/analyst/membership/38570