曾經國內很多客戶對安全運營中心(Security Operation Center,SOC)的理解就是“大屏”,紛紛表示也想在企業內掛一塊可以指揮作戰(從“威脅監測”到“處置響應”)的大屏,目前,追求炫酷的“大屏”已經不再是客戶的主要訴求,客戶的主要訴求轉變爲:
- 1)通過SOC可以一站式管理各家的安全設備或產品,可以進行威脅監測運營。
- 2)使用SOC可以進行事件調查分析和響應處置。
- 3)基於SOC建設企業的安全運營體系,進行安全管理、指揮作戰和成果彙報。
下圖是基於SOC的企業安全運營體系建設思路。
在安全需求變得越來越“實戰化”時,甲方客戶也逐漸意識到只購買安全產品是不能解決安全問題的,還需要建立安全運營團隊,使用好安全產品,在與攻擊者對抗的過程中提升和保障企業的網絡安全建設。
基於SOC產品的安全運營體系,是一種不錯的建設思路。但是,每個企業都有複雜的網絡環境和不一樣的業務模式,面臨的安全威脅也不盡相同,因此,目前還沒有一款SOC產品通過標準化部署就能滿足客戶需求的,所以,企業在選擇SOC產品時,除了測試產品的能力滿足需求之外,還需要考察該團隊的定製開發能力(能夠快速設計和開發甲方的合理需求)和安全運營體系理論水平(能夠指導甲方進行安全運營體系設計和落地)。對於有實力有預算的企業,可以選擇自研SOC產品。
企業如果選擇通過購買SOC產品來建設安全運營體系,正確的做法是:自建安全運營團隊,購買SOC產品,同步購買定製開發服務,以及“基於SOC產品的安全運營體系建設”的專家服務。
在選擇SOC產品的時候,需要從兩方面進行考慮:
- 一是看是否能夠有效提升一線工程師的安全運營效率
- 二是看能否支撐安全負責人或管理者進行有效的安全管理
SOC如何提升安全運營效率?
1)SOC應能夠作爲統一運營平臺支持對接各類安全設備/產品。包括接入各類安全產品(NTA、EDR等)產生的風險或威脅告警、遙測日誌或數據,支持快速檢索、關聯查詢,比如查詢一個資產IP,能夠把各個系統的告警和日誌統一按時間順序呈現。
2)SOC廠商應提供快速接入一個或多個安全設備/產品的定製開發和運營服務。對於甲方企業來說,爲了提升發現威脅事件的能力,建議選擇威脅檢測能力強、行爲遙測技術全面、日誌/數據開放性好的流量檢測和終端安全產品。如果對安全性要求比較高,甚至可以購買多套。此時,如果SOC默認配置不支持某些安全設備/產品,需要SOC廠商定製開發和運營來支持接入。
3)提供多種準確的資產識別和分組方式。資產識別是安全體系建設的基礎,如果資產梳理不清楚,就好像不知道自己的財產放在哪裏一樣,也就沒有辦法實施保護措施。因此,SOC需要具備從NTA、EDR等接入設備的日誌和數據中發現並識別資產的能力,還需具備主動掃描發現資產的能力,比如遍歷網段掃描、Web頁面分析、App/小程序網絡接口分析等。除了識別資產,SOC還需具備資產分組的能力。
4)威脅監測頁的告警信息要方便安全運營工程師分析鑑定。關鍵信息要豐富,或者支持自定義選擇呈現哪些信息。設計師爲了美觀或者因個人風格不同可能會設計得比較簡潔或酷炫,但安全運營工程師爲了鑑定確認一個威脅,若在首頁得不到足夠的信息,還要點開次級頁面,有時甚至還要點開三級頁面,這是不友好的設計,特別是當告警頁有成百上千告警條需要確認時,大大影響了工作效率。因此,威脅監測頁的設計應以安全運營工程師的需求爲主,美觀和酷炫的外表是次要的。
5)提供一站式關聯分析能力。在企業安全運維的過程中,如果沒有SOC,我們常常需要從各個系統調查取證,然後進行彙總分析,工作效率低。SOC的核心功能之一就是能夠進行關聯分析,整合多個系統的數據之後,就能夠一鍵檢索所有系統的數據了。然而,關聯分析不僅僅是檢索全量數據,需要按照一定的劇本給出更多的分析線索和可能的攻擊路徑。比如:NTA檢測到某主機外鏈了一個惡意程序C2,EDR發現該主機上有多個可疑程序,關聯分析需要給出以下信息:
- 自動分析C2的威脅類別和家族社團。具體可以通過接入乙方安全廠商的威脅情報或分析系統來實現。
- 不錯的事件調查能力。最基礎的是能夠把各產品的告警或遙測數據映射到TTP技戰術模型(例如ATT&CK模型)中;一般可以做到根據主機IP和時間線把相關線索串聯起來;如果產品的遙測數據足夠豐富,最好能做到基於行爲證據鏈的“因果”關聯分析。
通過以上信息,安全運維工程師可以比較方便地進行分析和響應。有的系統雖然有能力做關聯分析,但需要點開一個又一個頁面,使得複雜度倍增。所以在設計呈現上,建議儘量一頁顯示整個分析劇本,如果信息比較多及需要突出重點,可以採用點擊展開方式進行下鑽分析,切忌使用跳轉頁面方式,分析的時候來回切換頁面的體驗非常不好。所謂的一站式關聯分析,就是在一個告警事件上點擊“分析”,能夠清晰地告訴我這是什麼威脅、影響哪些資產、證據鏈是怎樣的。
6)好用的工單系統。安全問題的解決往往不僅需要安全運維工程師,還需要網絡運維工程師、研發工程師等,常常需要跨團隊協作,因此,一個好用的工單系統能夠方便事件流轉和項目管理。
以上是一線安全運維工程師對SOC的主要需求,除了要做到有用,還要做到易用,在設計的時候主要考慮易用性,其次才考慮美觀性。
如何通過SOC進行有效的安全管理?
安全通常是一個企業的被動需求,是爲了保障業務和生產過程不受黑客攻擊而中斷,保障企業數據資產不被竊取或破壞。於是,企業就成立了一個小組,甚至一個部門來解決各種安全問題。
但是安全看不見,沒有辦法進行價值衡量。那麼,首先需要做的就是使安全看得見。
在SOC接入各類安全系統的告警和日誌之後,如果只是簡單地堆積,雖然看見了,但是看不清,因此需要進行分類。告警和日誌可以分爲風險和威脅兩大類。
- 風險包括資產的暴露面、漏洞等
- 威脅分爲攻擊類和失陷類,對於攻擊類,還可以根據資產的重要程度來進一步區分威脅等級,另外,還需關注攻擊強度,比如是否是定向攻擊;對於失陷類,則需要根據危害性進一步分類區分。威脅分類如下圖所示。
有了分類之後,需要做分類統計。由於很多時候各防禦系統的告警並不能準確地告知結果,發出的告警通常會帶有一個可信度,這類告警只能算作“疑似威脅”,需要經過運營分析後才能最終確定。因此,常見的統計有疑似威脅發生的次數、疑似威脅受影響資產數、確診威脅發生次數、確診威脅受影響資產數、威脅攔截次數、受保護的資產數、失陷資產數、攔截失敗導致失陷資產數、未發現攻擊且失陷資產數等。
這些統計數據從宏觀層面反映了企業所面臨的威脅態勢和防護體系的效果。理論上,隨着安全運營(威脅分析、上線攔截策略等)的深入,未確認的威脅會越來越少,失陷資產也會越來越少,可以根據需求按日、周、月分別繪製威脅態勢圖和防護效果圖。下圖反映了在進行安全運營和治理之後,服務器資產的安全狀況得到了很好的改善,但非服務器資產因治理措施不到位,反而有所加重。
除了宏觀上的數據分析,還要從微觀上對重要的安全事件做具體分析,即對高危事件、失陷類威脅事件做詳細分析,需要搞清楚:
- 這是什麼威脅
- 攻擊來自什麼地方
- 是如何入侵的
- 具體危害有哪些
- 造成的損失有多少
- 應急處置避免的損失有多少
這裏的難點是如何進行靠譜的損失評估,這是安全運營工作直觀的價值衡量,是老闆們看得懂且較敏感的數據模型。對於具體的事件,可以根據對業務、生產的影響,以及可能的潛在損失(如竊密、代碼或數據泄露等)來進行綜合評估。
最後,還需要設計一套算法,從宏觀統計上來估算安全工作的價值,或者說如果不做網絡安全保障工作,企業可能會遭受的損失。
- 對於攻擊類威脅,可以根據資產重要程度進行評估,假設該資產被攻陷,依據不同種類威脅的具體危害對資產業務價值造成的影響,估算出資產在不同的威脅下可能造成損失的量化數值,然後根據各類威脅發生的概率取加權平均值,得出資產價值表
- 對於失陷類威脅,可以按照確定的威脅類型結合資產業務價值進行評估,像APT攻擊、數據竊取或泄露、勒索病毒,對企業造成的損失肯定要大於挖礦木馬,而對業務服務器造成的損失肯定要大於普通職員的辦公機器。
真正進行價值衡量的時候,不能簡單地對每次攻擊進行累加。比如,有個攻擊源每天都會對某個資產進行多次攻擊嘗試,然而都被防禦系統攔住了,如果按攻擊頻次來累計價值,顯然是虛高的,所以要進行單位時間內的去重處理,即按天統計是一次攻擊事件,按周統計還是一次攻擊事件,按月統計仍然是一次攻擊事件。因此,安全運營的價值衡量應該基於事件維度進行統計。
現在,SOC系統已經通過各項數據指標具備了威脅趨勢統計和防禦價值衡量的能力,爲了幫助安全運維團隊更好地完成彙報和呈現,還需提供兩項“武器”:
- “一鍵生成報告”
- “威脅態勢大屏”
“一鍵生成報告”即根據選定的彙報週期生成彙報材料,內容主要包括威脅態勢、治理成果、價值衡量、重要事件分析等模塊,在數據呈現上,可以通過環比來體現所取得的成果。對於生成的材料,需要達到的彙報效果是“安全治理工作正在有條不紊且出色地完成,各類網絡威脅盡在掌握之中”。
“威脅態勢大屏”則是爲了展示企業在網絡安全治理上的成果。在設計上,首先要考慮的是炫酷和美觀,要有科技感;在內容上,要看得到企業面臨的威脅態勢、企業治理網絡威脅的成果、企業的安全防護體系及能力、通過重點事件展現成果和能力。需要達到的展示效果是“企業的安全防護體系很完善,威脅治理工作很出色”。
綜上,SOC是一個工作平臺,核心作用是幫助安全運營人員把工作做好,真正做到掌控和治理各種網絡威脅,在此基礎上,完成有效的安全管理和成果彙報。