如何讓SOC實現更高效率

2020-04-20 11:25:56GilyNetzer

關鍵詞：有效性

■Gily Netzer

一般來說，企業網絡安全基礎架構平均部署80種安全產品，這給SOC（安全運營中心）團隊帶來其他安全隱患和巨大的管理挑戰。

從基礎架構的安全控制中生成大量數據后，SOC團隊通常依靠安全信息和事件管理（SIEM）來聚合數據并提供對事件和安全警報的洞察力。

同樣，借助安全編排與自動化響應（Security Orchestration,Automation and Response，簡稱SOAR）平臺可以實現這一結果并將其自動化。

但是，企業需要實時確保它的安全性。這也正是為什么企業開始將突破與攻擊模擬（BAS）與SOC相集成。

BAS與SIEM和SOAR解決方案的集成使得SOC團隊能夠不斷評估其安全控制的有效性，并通過實時、準確的指標來改善企業的安全狀況。

與SIEM集成

BAS可以驗證SIEM是否正在有效地接收事件和警報。企業可以：

·驗證SIEM與基礎架構中其他安全控件的集成。

·使用攻擊模擬分析中提供的取證工具（例如哈希值、域名、主機 artifacts等）來完善SIEM規則。

·評估預防性控制措施的有效性，例如EPP、Web網關、電子郵件網關、防火墻和IPS。

·評估基于行為的檢測控件（例如EDR、EUBA、欺騙攻擊和蜜罐）的有效性。

最佳的BAS解決方案是能夠提供有關各種控件的能力，以檢測可疑活動的具體細節。SOC團隊可以啟動即時威脅情報評估，以模擬發現的最新威脅。可以將來自橫向移動、數據滲透和其他攻擊向量模擬的數據提取到SIEM中，以進行分析、告警和補救。

BAS可以以天或小時來連續運行，并將結果置入SOAR中。安全人員可以直接從SOAR儀表板確定修復的優先級并采取糾正措施。使用BAS生成的數據可以：

·完善SOAR事件響應規范。

·評估違規行為之后控制的有效性。

·確定監測和響應工作流程的有效性。

·根據啟發式Cyber Exposure分數優先制定修復措施。

除了合規風險，企業還需要管理和報告與數字化轉型工作和供應鏈相關的風險。當BAS與諸如RSA Archer等的治理、風險和合規（Governance,Risk,and Compliance，GRC）工具集成在一起時，組織將獲得更加詳細的數據，可實現：

·主動識別并避免IT配置被篡改，軟件更新和新技術部署的潛在不利影響。

·在特定的時間點和一段時間內衡量控制有效性。

·通過不斷地保護電子郵件、Web網關及端點的安全控制來降低供應鏈風險。

BAS數據增強了漏洞掃描的能力，并結合攻擊模擬結果，使SOC團隊可以檢測常見漏洞和報告CVE數據。團隊可以根據各種參數（例如資產類型、用戶權限和關鍵數字資產）確定優先級并加快修復速度。

BAS可使團隊能夠驗證EDR解決方案是否有效地檢測了IoC和最新模擬威脅的攻擊技術。團隊可以在其端點上模擬特定的威脅行為，并驗證響應工具是否按預期工作。

通過API集成的BAS還可使SOC團隊能夠從模擬攻擊（包括IoC、TTP、有效負載名稱、緩解措施及其他數據）中檢索所有評估結果，并將其轉移到自己的環境中。這將給他們帶來：

·即時的洞察力：BAS數據始終可與其他SOC工具結合使用。

·最新的威脅情報：詳細的攻擊者TTP（Tactics，Techniques，Procedures）和每日威脅數據，可為SOC團隊提供最新的洞察力，而無需專家團隊。

·統一的可見性：將BAS結果與SOC工具相結合，可以最大程度地提高團隊的決策和優先級能力。

·修復指南：團隊會收到針對MITER ATT＆C框架的特定指導，以加快修復速度。

·全面覆蓋：BAS可覆蓋所有攻擊向量和整個攻擊鏈。

·持續的自動化測試：SOC團隊可以不斷進行控制，并立即發現基礎架構的變化或安全漏洞，在其被利用之前及時阻斷。

·控制優化：獲得對整個攻擊鏈的一致評估，確保修復工作帶來預期的效果。

只需單擊幾下，SOC團隊就可以發起數千次攻擊模擬，并確切地了解攻擊所處的位置以及如何防范它們。如今，發現每天暴露出的新威脅，防御先進而隱蔽的攻擊技術，防止IT系統持續變化帶來的不利影響，并確保安全控制最大限度地防范國家級的攻擊行為和復雜的供應鏈攻擊，這些都已成為可能。