概述
2019年7月,SANS發佈了第三次SOC調查報告,題爲《SOC的通用和最佳實踐》。SANS主要針對歐美國家的大中型SOC客戶(含MSSP)進行了調研,結果顯示:
1)通往卓越SOC之路的最大障礙是專業|人員的缺失(58%)和缺乏有效的編排與自動化(50%)。
2)依照NIST CSF框架,最滿意的技術是保護階段的訪問控制/虛擬專網(87%),而最不滿意的技術是檢測階段的AI/ML(53%);
3)AI/ML和自動化可以助力專業|人員,但無法取代他們。
SANS建議優先從以下幾個方面考慮持續改進SOC:
1) 更專注於SOC能夠提供什麼應用場景和服務,而不是一味地購買新技術;
2) 建立一套有效的人員培養、成長和保留策略,提供良好的職業發展路徑。對於本就不多的人手而言,人員穩定性更爲關鍵;
3) 多考慮使用MSSP的服務;
4) 加強SOC與NOC的協同合作。
今年SANS對SOC的定義沒有發生變化,依然表述爲:SOC是人、流程和技術的結合,它通過主動的設計和配置、持續地系統狀態監測、檢測意外動作和非預期狀態去保護組織的信息系統,力圖儘可能地降低不良影響造成的傷害。(A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.)
SOC人員
超過三分之一的受訪者所在的企業和組織中只有2~5名專職的SOC人員。這一結果跟2018年的調查基本一樣,沒有什麼變化。
SOC主要幹什麼
如上圖所示,跟2018年比變化也很小,DLP的位置略微有所提升。主要的活動包括:應急響應、安全監控與檢測、DLP、安全管理、修復,等等。
此外,SANS十分看重SOC服務和能力的交付方式,即每種能力通過自建、委建(MSSP)和共建三種方式交付的佔比情況。從調研結果來看,所有活動都是自建佔主導位置,其次是共建,委建佔比還是比較低,並主要集中在***測試、紅藍紫對抗方面。
SOC的部署架構
如下圖所示,SOC的部署模式依然還是以單一集中式部署爲主,分佈式部署和雲部署的情況在逐步增加。
SOC的度量指標
對SOC的效果進行度量已經是一項十分迫切的工作了。SANS列舉了一些指標,包括:處理的安全事件數量、從檢測到遏制和根除的時間(類似我們經常說的MTTD、MTTResponse、MTTRecovery等)、關閉的安全事件數量、受SOC保護的系統的風險值、由已知或未知漏洞導致的安全事件數量/比例、找出所有受影響的資產和用戶所花費的時間、每個安全事件造成的故障時長、溯源到的威脅行爲體數量、全面IOC檢測的徹底性(覆蓋度)和準確性、問題根除的徹底性(複發率)、安全事件避免的可能性、安全事件花費的金錢成本、造成的損失與挽回的損失之比。
對於如何構建有效的度量網絡安全的指標是當下的一個熱點。Dark Reading在近日採訪了多位網絡安全廠商的技術專家,讓他們給出了自己心目中可能帶來誤導的20個指標。這20個所謂糟糕的指標描述在安全牛上有中文譯文。可以說,如果脫離具體的應用場景和上下文,缺少輔助指標,缺乏度量的連續性和一致性,任何單一的指標在表達上都存在缺陷。我們需要一套有針對性的、互相關聯的指標集合,並且能夠進行持續的度量。
SANS在報告中也承認,要建立一套真正反映SOC運行效果的指標是很難的事情,要想算出造成了多大損失,挽回了多少損失也是很難的事情,至少數據來源就是模糊了。但有估算總比沒有估算好,有指標(當然不能是爛指標)總比沒有指標好。
下圖進一步揭示了在進行指標度量時的自動化水平:
可以看出,完全自動化獲得度量值的比例只有10.7%,其它的則要麼完全手工計算,要麼或多或少依靠手工計算。
SOC用到了哪些技術和工具
2018的調研是直接開列了40種技術和工具,今年則首先依照NIST的CSF(網絡安全框架)將各種技術映射到了6個階段(IPDDR——識別/保護/檢測/響應/恢復),然後分別針對每個階段具體分析。
1) 識別:
識別階段就是我們現在所稱的“看見”的過程,包括看見系統、人員、資產和數據,看見它們的靜態屬性和動態屬性,看見他們的運行狀態,並評估出他們的風險。SANS列出了三種識別階段最關鍵的技術:SIEM、風險分析與評估、資產發現與管理。
2) 保護:
保護階段就是對關鍵資產進行防護,確保其持續地提供服務。SANS的調查顯示,在保護階段,滿意度最高的技術是邊界防護類技術。SANS列舉的保護技術/工具包括:web代理、WAF、SSL流量解密、NGFW、NAC、惡意代碼檢測、內容過濾、DLP、應用白名單和虛擬專網。
3) 檢測:
檢測階段涉及的技術和工具最爲豐富。一方面因爲檢測之難,技術路線之多,另一方面也是檢測之重要。這個階段滿意度最高的是基於網絡的檢測技術。滿意度最低的技術則來自於AI和ML。SANS認爲AI和ML對於增強分析師的能力確實大有裨益,但當前人們對AI和ML正處於炒作的高峯期,能力被過渡渲染,以至於落差太大了。SANS針對這個階段列舉的技術包括:UEBA、威脅情報、SOAR、包分析、NTA、IPS、流分析、全包捕獲、取證、AI/ML、SIEM、DNS日誌監控、EDR、持續監控與評估、應用日誌審計,等。
4) 響應:
響應階段就是針對檢測階段發現的安全事件進行響應處置的過程。SANS在此階段列舉了3種技術:欺騙、抗D和EDR。SANS認爲EDR在中型市場的***率穩步提升。
5) 恢復:
恢復是指保持網絡彈性,或者將受到安全事件影響的能力和服務進行恢復的過程。SANS列舉了三種恢復技術:弱點修復、基於虛擬化技術的系統更新、勒索修復。
SOC面臨的主要挑戰
今年的調研結果與去年的調查基本一致,如下圖所示:
SANS將上述問題總結爲四個方面:
1)“生活中不可避免地現實”。這個比喻很形象,你永遠也找不到足夠的資源,也沒有必要去找齊,而管理層的支持是一個永恆的話題。
2)治理問題。SOC是一個複雜的系統,不僅在於其技術,更在於其衆多的干係人。做好SOC很多時候都受限於那些腦袋們的屁股在哪裏,解決之道就在於同理心,多贏思維。
3)缺乏整合以及SOC流程的成熟度問題。
4)技術問題。
其它
應急響應(IR)
IR是安全運營中必不可少的重要環節。94%的受訪者表示IR能力依靠自建,並且這些自建的受訪者中有77%都是將IR團隊作爲SOC團隊的一部分。可以說,IR和SOC合體是當下主流。
對於IR團隊和SOC團隊的關係,Gartner也曾專門進行過討論,分爲三種情況:IR作爲SOC的一部分、IR放到CIRT中並與SOC保持獨立、IR的工作分散到SOC和CIRT中。三種情況的利弊分析如下:
知識管理
SANS認爲知識管理十分重要。將安全事件的處置過程和結果記錄下來,將安全運營的經驗記錄下來,不僅可以提高自己未來處置安全事件的效率,更是一個團隊的積累和傳承。當我們抱怨人手不足的時候,當我們抱怨人員團隊流動性高的時候,當我們抱怨反覆處理以前遇到過的問題的時候,請重視知識管理。
SANS的訪談顯示,小型SOC用戶一般會用SharePoint做知識管理;而大型SOC用戶則較多使用JIRA作爲工單系統,用Confluence作爲協同系統,用ServiceNow或BMC Remedy做工單,但基本都沒有用上正式的劇本。
數據關聯分析
SANS的調研表明,事件、IOC、情報等情境數據之間關聯分析主要由SIEM來擔當,其次是TIP、LM和SOAR。
【參考】
SANS:2018年網絡威脅情報現狀調研報告
SANS:2017年網絡威脅情報現狀調研報告
SANS:2016年網絡威脅情報現狀調研報告
SANS:2016年安全分析調研報告
SANS:2015年安全分析與安全智能調研報告
SANS:2014年安全分析與安全智能調研報告
SANS:2013年度安全分析調查報告
SANS:2014年日誌管理調查報告
SANS:2012年度日誌管理調查報告
SANS:2011年度日誌管理調查報告
SANS:2010年度日誌管理調查報告