青藤云安全:如何為SOC注入“源頭活水”?
作者:星期五, 十二月 6, 20190

高級網絡威脅等網絡犯罪屢見不鮮,層出不窮。由于數據被盜、服務中斷及聲譽受損,導致企業的網絡攻擊損失也不斷攀升。加之有關信息安全的法律法規相繼頒布,以及各企業日益加強對第三方關系的管理,使用SIEM、SOC等產品來加強安全態勢感知,已成為大家共同的選擇。

雖然SOC目前在國外發展的熱火朝天,但在國內,由于缺乏充足的建設和維護經驗,導致SOC難以充分發揮其預期效果,很多企業都將其當成數據存儲工具或SIEM工具來使用。

目前,在國外,SOC服務通常是以一種類似于SaaS服務的SOC-as-a-service(SOC即服務)方式來提供的,發展得如火如荼。如果參考國外的成熟經驗,將SOC作為一項完整的態勢感知解決方案,即可享受SOC所帶來的諸多效益。即便是對于預算有限的用戶,SOC-as-a-service也可以提供所需的端到端的安全服務,由專業的SOC提供類似SaaS的服務,部署和管理起來既快速又容易,同時可以享受運行SOC所需的安全專家、流程和技術提供的專業服務。由于不需要在其他硬件、軟件或人員上進行投資,客戶的成本效益更高。

下面筆者將談談對態勢感知產品SIEM和SOC一些理解。對此話題感興趣的伙伴們,還可以參加12月10日,青藤云安全與中信集團旗下公司中企通信聯合舉辦的在線直播,對此話題進行深入探討。

從SIEM到SOC的變與不變

安全信息和事件管理(SIEM)是出現較早的安全態勢感知產品,可匯總和管理來各種來源的數據,例如syslog、OS日志、端點設備、防火墻/IDS輸出和網絡流日志,其功能如下圖所示。

SIEM 的功能

雖然SIEM具有強大的數據處理功能,但終究只是一款工具,受限于需要專業人員運營、誤報多等限制,無法成為一款完整的態勢感知解決方案。而SOC則以SIEM作為核心技術,更多地集成了NIDPS、EPP、EDR、網絡流量分析(NTA)、安全編排、自動化和響應(SOAR)、威脅和漏洞管理(TVM)以及入侵攻擊模擬(BAS)工具,成為一種更完善的態勢感知解決方案。

下圖展示了SOC內部的數據處理流程。整個SOC分為四層,Tier 1為報警分析師,Tier 2為事件響應人員,Tier 3為威脅捕獲人員,Tier 4為SOC經理,其數據處理流程為:

SIEM等工具收集的報警數據流向Tier 1的分析師,他們負責監視報警、確定報警的優先級,并負責對報警進行調查。
真正的威脅會傳遞給Tier 2的事件響應人員,他們具有更深厚的安全經驗,他們會進行進一步分析并制定策略,遏制威脅的傳播。
嚴重的數據泄露行為將交給管理Tier 3的高級分析師,由他們全權負責解決該威脅情況。此外,這些高級分析師還負責積極尋找威脅并評估業務漏洞。
Tier 4的SOC經理則負責根據情報信息,對未來SOC進行整體規劃和管理。


SOC的數據處理流程

從上圖可以看出,一切工作均始于數據,數據乃SOC之根源。確定收集數據所需的數據點是實現態勢感知的第一步。在大多數情況下,這些數據點是來自組織機構的IT基礎結構的日志。有一個誤區就是將組織機構中所有可能的日志和數據點全部納入SIEM、SOC中,并假設可能有一天可能會用到這些數據。但管理供SIEM、SOC使用的數據成本非常高昂,為了避免不必要的運營成本,要優先選擇“需要”的數據。

并非所有數據都可以納入態勢感知產品中。例如,將Web代理日志發送到SOC中可能很簡單;但是,并非所有數據點都使用方便或對SOC有價值。有些組織機構可能希望使用特定的數據點來解決某些用例問題,但是,也要意識到,讓SIEM、SOC來管理這些數據點,并確保這些數據的有用性,并非易事。下圖展示了根據解決方案的成熟度,將典型數據點納入到SIEM、SOC中的困難程度。

數據源管理的難度

現在的態勢感知到底還缺什么?

要實現良好的態勢感知功能,就要從多種來源收集可靠數據。沒有高質量的數據來源,SOC也就是一個花瓶擺設。但是正如上文所說,現在SOC數據來源于有很多,但是大部分都是網絡側流量數據、日志等。主要是通過對互聯網節點網絡流量進行監控探測,形成局部的威脅事件采集能力,這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數據分析能力和安全響應能力,市場上很多態勢感知僅僅是通過一些安全可視化方法做了數據的圖像呈現。甚至很多人都認為態勢感知就是大屏展示的“安全地圖”,只用于直觀顯示網絡環境的實時安全狀況,比如了解網絡的狀態、受攻擊情況、攻擊來源等。這類態勢感知產品具有一定威脅展示的直觀性,但從感知深度、感知廣度和感知的有效覆蓋范圍來看,遠未達到“全天候全方位感知網絡安全態勢”的要求。

那么態勢感知一個合理視角應該是什么?筆者認為應該從以事件為中心轉到以資產為中心。從哲學角度看,態勢感知是對網絡空間中的主體、客體和關系進行認識和表達的過程。攻擊方、用戶、廠商等屬于主體,而攻擊工具、服務器、虛擬數據資產等都屬于客體。

現有態勢感知缺乏主機相關信息,對于失陷主機的“態”及脆弱主機的“勢”無法精準有效的呈現。而全方位感知網絡安全態勢,要求除了對基于網絡流量進行威脅可視化呈現,還要求對全網主機及關鍵節點的綜合信息進行網絡態勢監控。

如果無法獲得正確的數據,則無法實現這些數據的預期用途。沒有數據就意味著防護人員無法看到攻擊行為,從而也就沒辦實行防護方案。

那么如何獲得高價值數據?我們需要確保做好以下方面的工作,才能確保SIEM、SOC等產品可以使用特定日志數據:

1)配置好初始系統,以便生成所需的遙測數據

2)讓初始系統通過syslog推送或通過從SIEM工具提取API來訪問日志數據

3)解析這些日志數據,以增強其可用性

目前,青藤云安全能夠為SOC平臺提供主機側高質量數據,補充現有態勢感知的不足,為SOC的發展源源不斷地注入“源頭活水”。

12月10日晚8點,青藤云安全將攜手中信集團旗下公司中企通信進行在線直播,對相關的態勢感知問題進行詳細講解,感興趣的同學們準備好小板凳來觀看吧!

除了滿滿的干貨外,積極參與直播互動,更有精彩禮包相送!

??驚喜一:報名即可獲得

1.免費使用中企通信提供的廣州科學城數據中心2KVA機柜一個。

2.以下禮包三選一:

1) 租用機柜獲贈指定互聯網帶寬或專用網絡帶寬;

2) 租用機柜贈送Forti UTM安全管理服務一年;

3) 租用機柜獲贈云端備份服務一年;

??驚喜二:入群+分享海報可獲得青藤云安全出品科普漫畫(上下冊)

??驚喜三:入群抽獎(12.6-12.10每天下午三點群內開啟幸運抽獎)

青小寶玩偶、移動電源、藍牙風扇、多功能轉換器、鼠標墊等你來拿!

還等什么,趕緊入群吧!

第7期微信交流群

參與方式

直播時間:2019年12月10日 20:00——21:20

報名方式:點擊閱讀原文或掃描以下二維碼即可

報名鏈接:

https://vzan.com/live/tvchat-1958586215?ver=637110817874127515&shareuid=223599574&vprid=0

第7期直播入口

演講嘉賓

林崇攀 —— 青藤云安全高級售前專家

江克非 —— 中企通信產品專家

直播議程

20:00 我們能為SIEM/SOC態勢感知提供高價值的獨特數據

20:35 Q&A時間

20:40 融合SIEM完善企業信息風險防御體系

21:10 Q&A時間

青藤第7期「安全說-晚間直播」,下周二等你!

關鍵詞:

相關文章

寫一條評論

 

 

0條評論