[[410601]]

【51CTO.com快譯】安全運(yùn)營(yíng)中心(Security Operations Center，SOC)主要負(fù)責(zé)維護(hù)、監(jiān)控和保護(hù)組織中的信息系統(tǒng)和服務(wù)資源。作為一個(gè)情報(bào)中心，它能夠?qū)崟r(shí)收集在組織內(nèi)部資產(chǎn)(包括服務(wù)器、網(wǎng)絡(luò)、以及終端等)中流動(dòng)的數(shù)據(jù)信息，并據(jù)此來(lái)識(shí)別安全事件，以及做出行之有效且及時(shí)的響應(yīng)。

通常，SOC會(huì)涉及到廣泛的技術(shù)、流程、以及經(jīng)驗(yàn)豐富的安全專(zhuān)家團(tuán)隊(duì)。而為了提高效率，SOC經(jīng)常會(huì)采用各種自動(dòng)化的工具，來(lái)簡(jiǎn)化和支持團(tuán)隊(duì)的日常工作。例如，自動(dòng)化的流程可以幫助他們識(shí)別出現(xiàn)有網(wǎng)絡(luò)中的安全威脅，根據(jù)既定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)和其他因素，來(lái)確定優(yōu)先級(jí)，并按需給出相應(yīng)的解決方法與建議。

歸納起來(lái)，SOC的主要活動(dòng)和職責(zé)包括：

• 網(wǎng)絡(luò)監(jiān)控——通過(guò)不斷改進(jìn)異常檢測(cè)的能力，來(lái)提高針對(duì)各種數(shù)字活動(dòng)的可視性。
• 預(yù)防技術(shù)——其實(shí)施目的是為了廣泛地預(yù)防和阻止，那些已知和未知的風(fēng)險(xiǎn)。
• 威脅檢測(cè)和情報(bào)——協(xié)助評(píng)估和確定每個(gè)安全事件的起源、嚴(yán)重性、以及影響程度。
• 主動(dòng)事件響應(yīng)和補(bǔ)救——通過(guò)自動(dòng)化工具和人工干預(yù)來(lái)提供支持。
• 報(bào)告功能——確保所有事件和威脅都能夠被及時(shí)地輸入至數(shù)據(jù)存儲(chǔ)庫(kù)，以便后續(xù)分析。其報(bào)告內(nèi)容將有助于讓未來(lái)的響應(yīng)能力更加及時(shí)與準(zhǔn)確。
• 風(fēng)險(xiǎn)與合規(guī)性——確保執(zhí)行和遵守各種來(lái)自政府和行業(yè)的法律與法規(guī)。

SOC技術(shù)棧的基本組件

常言道，沒(méi)有過(guò)硬的技術(shù)，SOC將根本無(wú)法運(yùn)營(yíng)。下面讓我們來(lái)討論那些構(gòu)成安全技術(shù)棧的關(guān)鍵工具。

安全信息和事件管理(Security Information and Event Management，SIEM)

SIEM會(huì)自動(dòng)聚合那些來(lái)自多個(gè)網(wǎng)絡(luò)源的大量安全相關(guān)數(shù)據(jù)，并且對(duì)其進(jìn)行分析與關(guān)聯(lián)。它可以幫助您將各種日志數(shù)據(jù)和網(wǎng)絡(luò)流量，整合到一個(gè)儀表板中，以便各個(gè)相關(guān)方便捷地使用這些信息。

SIEM方案通常會(huì)帶有內(nèi)置的分析功能，可以讓安全團(tuán)隊(duì)以數(shù)據(jù)可視化的方式，識(shí)別其發(fā)展趨勢(shì)，并判定出可疑的模式。例如，通過(guò)收集和關(guān)聯(lián)一系列來(lái)源的數(shù)據(jù)，SIEM系統(tǒng)可以協(xié)助分析師從看似互不相關(guān)的活動(dòng)和事件之間，識(shí)別出彼此的關(guān)系，進(jìn)而發(fā)掘到潛在的攻擊信號(hào)。

SIEM平臺(tái)的另一個(gè)優(yōu)勢(shì)在于，它們可以將數(shù)據(jù)整合到報(bào)告中。也就是說(shuō)，SIEM平臺(tái)能夠出于合規(guī)的目的，自動(dòng)生成審計(jì)報(bào)告。這些報(bào)告通過(guò)展現(xiàn)當(dāng)前組織內(nèi)部的風(fēng)險(xiǎn)狀況，以協(xié)助各個(gè)利益相關(guān)方(包括不精通網(wǎng)絡(luò)安全的高管、以及其他決策者)理解組織的安全態(tài)勢(shì)。

威脅情報(bào)

威脅情報(bào)平臺(tái)可以與SIEM系統(tǒng)相集成，提供警告的上下文。如今，各個(gè)組織往往會(huì)用到一整套安全工具，而其中的每個(gè)工具都會(huì)生成各種警告。如前所述，SIEM技術(shù)能夠?qū)⒏鞣N工具生成的信息匯總起來(lái)。而威脅情報(bào)工具則會(huì)通過(guò)各種威脅向量、及其技術(shù)數(shù)據(jù)，讓這些信息更加“豐富”、且有根據(jù)。

可以說(shuō)，將威脅情報(bào)與SIEM結(jié)合使用的主要優(yōu)勢(shì)就在于：安全運(yùn)營(yíng)團(tuán)隊(duì)能夠確定警告的優(yōu)先級(jí)，減少誤報(bào)的數(shù)量，確保自動(dòng)化的流程更加高效，以及用最短的時(shí)間去處置那些真正可疑的異常行為與攻擊。

當(dāng)然，除了對(duì)警告進(jìn)行優(yōu)先級(jí)排序之外，威脅情報(bào)團(tuán)隊(duì)還能夠通過(guò)提供上下文信息，讓分析師有針對(duì)性地評(píng)估和確定每個(gè)警告的真正內(nèi)容與風(fēng)險(xiǎn)級(jí)別。實(shí)際上，分析師和其他利益相關(guān)者可以使用威脅情報(bào)平臺(tái)，快速地確定警告的來(lái)源，識(shí)別受影響的系統(tǒng)和設(shè)備，進(jìn)而發(fā)現(xiàn)威脅的類(lèi)型。如有需要，分析師還可以快速地開(kāi)展更深層次的調(diào)查，并追逐相關(guān)的惡意活動(dòng)。

Web應(yīng)用程序防火墻 (WAF)

WAF旨在保護(hù)目標(biāo)網(wǎng)絡(luò)免受惡意流量的侵害。它通過(guò)參考OWASP十大安全漏洞、零日威脅、未知應(yīng)用漏洞、和其他基于Web的威脅，及時(shí)有效地保護(hù)業(yè)務(wù)關(guān)鍵型Web應(yīng)用，免受各種威脅的入侵。

雖然WAF有著多種類(lèi)型，但是它們都有一個(gè)相似的目標(biāo)——通過(guò)分析各種HTTP的交互，在惡意攻擊抵達(dá)服務(wù)器之前，減少或消除這些惡意流量的準(zhǔn)入。

與傳統(tǒng)防火墻相比，WAF能夠更好地了解通過(guò)HTTP傳輸?shù)母黝?lèi)敏感信息。也就是說(shuō)，WAF可以防范那些通常能夠繞過(guò)傳統(tǒng)網(wǎng)絡(luò)防火墻的攻擊。而其另一個(gè)關(guān)鍵優(yōu)勢(shì)在于：WAF不需要更改應(yīng)用程序的源代碼，而是通過(guò)檢測(cè)惡意流量，來(lái)阻擋黑客利用應(yīng)用漏洞的各鐘可能。

擴(kuò)展檢測(cè)和響應(yīng)(eXtended Detection and Response，XDR)

XDR技術(shù)屬于主動(dòng)防御類(lèi)型的安全技術(shù)棧(請(qǐng)參見(jiàn)--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-features-and-use-cases/)。它不但提供了橫跨多個(gè)數(shù)據(jù)源的全面可視性，而且使用警告分類(lèi)和威脅搜尋的方式，來(lái)搜索數(shù)字資產(chǎn)中的未知威脅。憑借著大數(shù)據(jù)分析和人工智能(AI)，XDR能夠?qū)Πㄔ贫恕⒕W(wǎng)絡(luò)和終端等環(huán)境，開(kāi)展自動(dòng)化的智能搜索、數(shù)據(jù)關(guān)聯(lián)、并提供各種豐富的屬性值。

在搜索威脅之前，XDR方案會(huì)分析所有數(shù)據(jù)源中實(shí)體、操作、用戶(hù)的各項(xiàng)行為。通過(guò)事先將此類(lèi)信息予以關(guān)聯(lián)，以便創(chuàng)建一個(gè)被視為正常行為的基線。而有了基線之后，XDR技術(shù)會(huì)檢索各種異常行為，通過(guò)對(duì)其進(jìn)行比對(duì)分析，讓分析師更有針對(duì)性地去查找威脅。

SOC通常會(huì)采用XDR技術(shù)，來(lái)發(fā)現(xiàn)威脅的來(lái)源點(diǎn)、以及當(dāng)前位置。同時(shí)，運(yùn)營(yíng)團(tuán)隊(duì)也可以利用XDR，來(lái)簡(jiǎn)化工作流程，并減少多任務(wù)處理的時(shí)間與復(fù)雜性。這里的多任務(wù)主要包括：事件調(diào)查和響應(yīng)、威脅搜尋、以及事件分類(lèi)等。

零信任

零信任安全模型的基本原則是：網(wǎng)絡(luò)上的任何組件都是不可信任的。它會(huì)假設(shè)用戶(hù)帳戶(hù)和設(shè)備已經(jīng)被盜用，因此只能向任何用戶(hù)或設(shè)備授予盡可能少的權(quán)限，并且要不斷驗(yàn)證身份。據(jù)此，零信任可以確保添加和實(shí)施更多的安全層面，以防止惡意行為者潛入網(wǎng)絡(luò)，同時(shí)也防止內(nèi)部人員執(zhí)行未經(jīng)授權(quán)的操作。

在零信任看來(lái)，內(nèi)部網(wǎng)絡(luò)與外部同樣容易受到威脅的入侵，因此需要提供同等的保護(hù)。因此，那些落地了零信任的組織，會(huì)實(shí)施物理和邏輯上的網(wǎng)絡(luò)分段技術(shù)，以確保網(wǎng)絡(luò)中的各個(gè)實(shí)體，只能連接到相關(guān)的資產(chǎn)上，而不能橫向移動(dòng)到網(wǎng)絡(luò)的其他部分。在技術(shù)實(shí)現(xiàn)上，零信任網(wǎng)絡(luò)技術(shù)會(huì)對(duì)連接到公司系統(tǒng)的用戶(hù)、以及應(yīng)用程序和服務(wù)角色，進(jìn)行強(qiáng)身份驗(yàn)證，并使用一個(gè)策略引擎，來(lái)確定“在何種情況下，允許誰(shuí)訪問(wèn)哪些內(nèi)容”。

安全自動(dòng)化、編排和響應(yīng) (Security Automation, Orchestration, and Response SOAR)

SOAR是一個(gè)通過(guò)使用一系列集成工具，來(lái)實(shí)現(xiàn)自動(dòng)檢測(cè)和響應(yīng)警告的平臺(tái)。SOAR并非一個(gè)獨(dú)立的系統(tǒng)，而是可以有效地編排和利用那些部署在SOC內(nèi)部的其他系統(tǒng)。

SOAR通常可以提供如下功能：

• 傳統(tǒng)任務(wù)的自動(dòng)化——包括漏洞掃描、日志查詢(xún)、新用戶(hù)配置、以及非活動(dòng)帳戶(hù)配置的凍結(jié)等。
• 自動(dòng)化響應(yīng)——SOAR會(huì)根據(jù)預(yù)定義的劇本(playbook)，按計(jì)劃自動(dòng)響應(yīng)各種警告。
• 編排——通過(guò)集成和關(guān)聯(lián)多個(gè)安全工具的輸出，來(lái)自動(dòng)分析各類(lèi)安全事件。

可以說(shuō)，SOAR不但可以使用自動(dòng)化的劇本，來(lái)顯著地加快對(duì)于警告的響應(yīng)，而且還能夠確保安全分析師，不會(huì)在重復(fù)的手動(dòng)任務(wù)上浪費(fèi)時(shí)間，進(jìn)而將其現(xiàn)有的分析技能用于更為復(fù)雜的威脅場(chǎng)景中。

區(qū)塊鏈網(wǎng)絡(luò)安全

由于區(qū)塊鏈技術(shù)能夠在交易的雙方之間建立真實(shí)的身份通信，也就是業(yè)界常提到的對(duì)等網(wǎng)絡(luò)(peer-to-peer network)設(shè)計(jì)，因此區(qū)塊鏈網(wǎng)絡(luò)安全已正日益得到重視與關(guān)注。在該模型中，區(qū)塊鏈中的每個(gè)成員都有責(zé)任驗(yàn)證任何被添加的數(shù)據(jù)真實(shí)性。據(jù)此，它為數(shù)據(jù)創(chuàng)建了一個(gè)幾乎不可被滲透的網(wǎng)絡(luò)，從而提供了高度的安全性。

小結(jié)

通過(guò)綜合利用上述技術(shù)，SOC可以廣泛全面地檢測(cè)和響應(yīng)各種安全威脅。最后，讓我們總結(jié)一下SOC該如何有效地使用這些高級(jí)的安全工具：

• SIEM系統(tǒng)可以從整個(gè)組織中收集各類(lèi)安全事件，并生成可操作性的警告。
• 威脅情報(bào)可以使用來(lái)自全球數(shù)百萬(wàn)條安全事件的數(shù)據(jù)，來(lái)豐富組織對(duì)內(nèi)部事件的判斷力。
• Web應(yīng)用防火墻(WAF)為應(yīng)用程序流量提供了實(shí)時(shí)的安全層，可以通過(guò)設(shè)置策略和規(guī)則，來(lái)動(dòng)態(tài)地應(yīng)用到各種流量模式上。
• 擴(kuò)展檢測(cè)和響應(yīng)(XDR)支持針對(duì)橫跨IT環(huán)境多個(gè)部分的攻擊，以實(shí)現(xiàn)統(tǒng)一的可視性、檢測(cè)和響應(yīng)。
• 零信任能夠更加嚴(yán)格地管控企業(yè)網(wǎng)絡(luò)的內(nèi)部流量，并防止特權(quán)帳戶(hù)通過(guò)橫向移動(dòng)構(gòu)成威脅。
• 安全自動(dòng)化、編排和響應(yīng)(SOAR)可以定義一系列復(fù)雜的自動(dòng)化活動(dòng)，通過(guò)結(jié)合多種安全工具，對(duì)安全事件進(jìn)行自動(dòng)化的響應(yīng)。
• 區(qū)塊鏈網(wǎng)絡(luò)安全可以保護(hù)敏感數(shù)據(jù)，并讓這些數(shù)據(jù)對(duì)于攻擊者毫無(wú)用處。

原文標(biāo)題：The SOC Technology Stack: XDR, SIEM, WAF, and More，作者：Eddie Segal

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】