鉴于2019冠状病毒病的深刻影响, 不断演变的威胁形势, 远程操作SOC (Security Operations Center)的约束, 增加远程工作人员, 不同的托管和非托管端点, 铺天盖地的网络钓鱼, 假借COVID-19和不断变化的业务需求为名的恶意活动, 可悲的是, 传统的SOC不够好. 正是在这种背景下,组织正在迅速适应,以应对无处不在的风险和迫在眉睫的威胁——需要重新定义, 重新设计和重新架构他们的安全状态和最佳实践.
网络安全专家正在帮助组织重塑他们的安全运营, 在云原生分析的前提下构建现代SOC,将AI/ML和用户行为分析相结合,以监控组织基础设施的频谱, 包括网络, 端点, 和云, 作为发展主动保护的基础, 执行零信任的检测和响应功能. 这使得传统的SIEM主要用于收集日志, 生成警报并满足遵从性需求. 鉴于防御需求日益强大,一种名为XDR(扩展检测和响应)的技术类别的不断出现和相关性正变得至关重要, 复杂的攻击和组织的关键资产. 由于成本原因,组织很少将从端点检测和响应(EDR)或网络流量分析(NTA)或云收集的活动存储在SIEM中, 规模和可视化限制. XDR平台能够通过丰富的数据集提供洞察力和上下文,从而将网络连接在一起, 端点和威胁活动可以实现基于ml的检测并简化调查.
现代SOC的另一个关键方面是引入流程编排的趋势, 结合自动化作为控制威胁和精确执行响应行动的关键驱动程序, 规模和一致性. 让我通过分享一个网络钓鱼警报的常见用例示例来说明自动化的好处,网络钓鱼警报仍然是分析师面临的严峻挑战. 当今前所未有的环境为对手提供了利用与covid -19相关的支持活动的机会. 结果是, 我们目睹了数以百万计的恶意活动, 包括钓鱼, 电子邮件诈骗和高级恶意软件继续攻击澳门赌场官方下载, 把自己伪装成信誉良好的机构. 一些鱼叉式网络钓鱼攻击非常复杂,有时与真实的电子邮件无法区分, 由于人为错误和缺乏网络安全意识和卫生而导致妥协. 安全分析人士, 结果是, 按照一组流程,花大量时间在团队之间进行协调. 想象一下花费大量时间协调电子邮件收件箱的分析师的生活, 英特尔威胁, 端点, 防火墙, 票务系统和其他工具. 分析师面临的挑战是在不同的主机间导航和切换, 数据规范, 和上下文, 这使得安全团队很难在最小化风险的同时进行调查. 这个问题可以通过自动化带来的效率和敏捷性来解决,自动化可以帮助安全分析人员将更多的时间集中在诸如威胁搜索之类的生产领域.
确保有效的现代SOC的最关键领域之一是拥有战术和战略威胁管理能力,从而实时增加外部和内部数据的可扩展性, 提供全面的策略以对抗威胁媒介. 任何给定的事件都与MITRE ATT保持一致&CK框架,为采用威胁猎人概述的技术提供了基础, 确保完全覆盖和建议,以检测未知, 内部和外部. 威胁狩猎服务将威胁猎人与数十年的数字取证经验相结合, 恶意软件分析, 网络威胁情报和先进的数据科学提供了一个完美的平衡,以减少识别威胁和漏洞所需的时间和资源. 这种方法允许组织建立一个坚实的基础,将威胁配置文件和趋势分析纳入SOC, 形成主动威胁管理的基础. 最近一段时间,相关的COVID-19活动导致了一个 攻击量大幅增加; threat hunting is a smart addition to an organization arsenal to combat the challenge.
大流行造成和加速的趋势, 以及组织基础设施的扩散, 给了我们一个反省和反思安全措施的机会, 在人员的关键支柱上增加SOC, 工艺与技术. 目标应该是通过零信任实现现代安全实践,从而推动战略业务成果, 流程编排和自动化, 协作和威胁管理. 这构成了现代SOC的基石.
作者简介: Anup Deb领导Palo Alto Networks亚太区的MDR业务. Anup拥有丰富的网络安全行业工作背景, 具有网络安全风险和合规领域的专业知识. 他也是事件响应方面的主题专家. 自始至终,Anup一直是该地区行业活动和会议的杰出演讲者. 活跃的博主, 他拥有出色的沟通和表达能力,多次获得专业奖项. Anup还曾与新兴技术初创澳门赌场官方下载和全球领先的IT公司合作.
