從追逐警報到捕獲威脅：有效SOC的進化

本文講的是從追逐警報到捕獲威脅：有效SOC的進化，無論被稱為SOC、CSOC(計算機安全運維中心)、網絡防禦中心還是别的什麼東西，安全運維中心(SOC)的根本使命都不會變——幫助企業檢測、分析、響應、報告和預防網絡安全事件。不過，随着威脅态勢不斷改變，怎麼有效做到這一點也發生了變化，分析師及其所依賴的技術身上的擔子也更重了。

很多SOC采取的是反應式方法，提供一套包括日志管理、實時監視、事件響應和調查在内的标準服務。他們使用傳統的SIEM(安全資訊和事件管理)，從内部源收集日志資料，進行關聯，以簡單實時的基于規則的分析來檢測已知威脅。隻要觸發警報，他們就介入調查。一段時間裡，這種水準的服務就足夠了。但随着攻擊越來越複雜，很明顯有很多惡意行為都躲過了監視且沒有産生明顯日志資料，比如零日漏洞攻擊和針對性惡意軟體。這意味着傳統攻擊檢測已經不再那麼有效了。

由于成功資料洩露事件數量持續增長，且攻擊者持續數周、數月甚至更長時間不被檢測到，如今僅僅調查警報已經不夠了。SOC分析師們很清楚不可能檢測和封鎖所有攻擊的事實，他們必須采取積極的方式來保護公司資産，找出活躍威脅和被入侵系統。威脅捕獲的重點，在于積極找出進入到網絡中的威脅。這需要對可能被入侵系統的深入檢查及查閱大量曆史資料，以找出傳統警報機制沒有識别出的惡意活動。

投入威脅捕獲

威脅捕獲行動涉及一系列工具和技術。如果發現潛在資料洩露的證據，可以調查該系統以确定發生了什麼、怎麼發生的、是否有其他系統受到影響等，以便能夠遏制和緩解攻擊。然而不幸的是，人工捕獲行動投入大産出小，耗費大量人力物力，卻隻有有限的機會可以查出東西。即便找出之前忽視掉的問題令人十分振奮，如果缺乏恰當的技術對之做出處理，那也隻會是時間和金錢的浪費。

幸虧安全分析技術和威脅情報的發展，有助于充分利用捉襟見肘的分析師資源，開展更有效率的行動。這些技術提供幫助的方式有兩種：将捕獲集中在更有可能被洩露的資産上，以及重評估已發生事件以揭示最新威脅情報。

捕獲被侵入系統

如大多數SOC分析師所知，很多情況下你是從普通員工報告‘某某系統有點不對勁’，而不是通過SIEM警報，來得知攻擊的發生。進階攻擊經常能避免觸發明顯警報，但仍會留下有東西出了差錯的證據。被侵入的系統則會表現得與平時不一樣。但依賴人工來發現非正常活動是不夠的，而且跟不上當今的威脅态勢。

進階分析大顯身手之處正在于此。對潛在被侵入系統的積極發現和深入調查需要時間、精力和技術——這三樣東西對絕大多數企業而言都是非常珍貴的。進階分析能基于發現異常來輔助識别捕獲區域。突然偏離日常基線的系統，可能就正在運作新的未知程序、向不受信網絡發送大量資訊，或者與正常業務範圍以外的地方進行通信。這些異常可能是無辜的，也可能指向潛在的被侵入系統。為發現此類異常，大多數成功捕獲行動會從幾種分析的綜合運用開始：統計分析以識别出離群值，機器學習算法以評估這些離群值，判斷是否與已知惡意行為類似。基于這些分析，具備較高被侵入機率的系統會被辨別出來，進行後續深入徹底的調查。

重新評估過去

威脅捕獲還包括通過檢查曆史資料找出可能被忽視掉的威脅。為克服傳統SIEM的限制，威脅捕獲采用基于大資料的新平台，來采集、管理和分析來自各種内部外部源的大量曆史資料。在第一輪實時分析可能會錯過什麼東西的場合，可以使用大資料系統來檢查可能的大量日志儲備和其他可用資料源。通過采用最新威脅情報來重新分析，可具備重評估資料的能力，得到後見之明的好處。比如說，根據時下掌握的資訊，通向指令與控制(C&C)基礎設施的潛在惡意連接配接，有可能沒被注意到。将更新過的威脅情報與網絡通信曆史中繼資料做對比，分析師就可能回顧性地發現攻擊。

無論是積極找尋被侵入系統，還是重評估過去事件，目标都是增加捕獲行動成功的可能性。大資料平台；實時全球威脅情報；再輔以基于規則的、統計的機器學習分析，分析師肩上的擔子便能被有效減輕。為達成更具成效的捕獲探索，這些技術必須協同使用，并融進分析師對所處環境的洞見和知識。具備了從追逐警報到捕獲威脅的轉型能力，SOC便能進化得在面對進階攻擊時更加積極主動，更有效。

原文釋出時間為：十一月 12, 2016

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。