如何让SOC实现更高效率

2020-04-20 11:25GilyNetzer

■Gily Netzer

一般来说，企业网络安全基础架构平均部署80种安全产品，这给SOC（安全运营中心）团队带来其他安全隐患和巨大的管理挑战。

从基础架构的安全控制中生成大量数据后，SOC团队通常依靠安全信息和事件管理（SIEM）来聚合数据并提供对事件和安全警报的洞察力。

同样，借助安全编排与自动化响应（Security Orchestration,Automation and Response，简称SOAR）平台可以实现这一结果并将其自动化。

但是，企业需要实时确保它的安全性。这也正是为什么企业开始将突破与攻击模拟（BAS）与SOC相集成。

BAS与SIEM和SOAR解决方案的集成使得SOC团队能够不断评估其安全控制的有效性，并通过实时、准确的指标来改善企业的安全状况。

与SIEM集成

BAS可以验证SIEM是否正在有效地接收事件和警报。企业可以：

·验证SIEM与基础架构中其他安全控件的集成。

·使用攻击模拟分析中提供的取证工具（例如哈希值、域名、主机 artifacts等）来完善SIEM规则。

·评估预防性控制措施的有效性，例如EPP、Web网关、电子邮件网关、防火墙和IPS。

·评估基于行为的检测控件（例如EDR、EUBA、欺骗攻击和蜜罐）的有效性。

最佳的BAS解决方案是能够提供有关各种控件的能力，以检测可疑活动的具体细节。SOC团队可以启动即时威胁情报评估，以模拟发现的最新威胁。可以将来自横向移动、数据渗透和其他攻击向量模拟的数据提取到SIEM中，以进行分析、告警和补救。

BAS可以以天或小时来连续运行，并将结果置入SOAR中。安全人员可以直接从SOAR仪表板确定修复的优先级并采取纠正措施。使用BAS生成的数据可以：

·完善SOAR事件响应规范。

·评估违规行为之后控制的有效性。

·确定监测和响应工作流程的有效性。

·根据启发式Cyber Exposure分数优先制定修复措施。

除了合规风险，企业还需要管理和报告与数字化转型工作和供应链相关的风险。当BAS与诸如RSA Archer等的治理、风险和合规（Governance,Risk,and Compliance，GRC）工具集成在一起时，组织将获得更加详细的数据，可实现：

·主动识别并避免IT配置被篡改，软件更新和新技术部署的潜在不利影响。

·在特定的时间点和一段时间内衡量控制有效性。

·通过不断地保护电子邮件、Web网关及端点的安全控制来降低供应链风险。

BAS数据增强了漏洞扫描的能力，并结合攻击模拟结果，使SOC团队可以检测常见漏洞和报告CVE数据。团队可以根据各种参数（例如资产类型、用户权限和关键数字资产）确定优先级并加快修复速度。

BAS可使团队能够验证EDR解决方案是否有效地检测了IoC和最新模拟威胁的攻击技术。团队可以在其端点上模拟特定的威胁行为，并验证响应工具是否按预期工作。

通过API集成的BAS还可使SOC团队能够从模拟攻击（包括IoC、TTP、有效负载名称、缓解措施及其他数据）中检索所有评估结果，并将其转移到自己的环境中。这将给他们带来：

·即时的洞察力：BAS数据始终可与其他SOC工具结合使用。

·最新的威胁情报：详细的攻击者TTP（Tactics，Techniques，Procedures）和每日威胁数据，可为SOC团队提供最新的洞察力，而无需专家团队。

·统一的可见性：将BAS结果与SOC工具相结合，可以最大程度地提高团队的决策和优先级能力。

·修复指南：团队会收到针对MITER ATT＆C框架的特定指导，以加快修复速度。

·全面覆盖：BAS可覆盖所有攻击向量和整个攻击链。

·持续的自动化测试：SOC团队可以不断进行控制，并立即发现基础架构的变化或安全漏洞，在其被利用之前及时阻断。

·控制优化：获得对整个攻击链的一致评估，确保修复工作带来预期的效果。

只需单击几下，SOC团队就可以发起数千次攻击模拟，并确切地了解攻击所处的位置以及如何防范它们。如今，发现每天暴露出的新威胁，防御先进而隐蔽的攻击技术，防止IT系统持续变化带来的不利影响，并确保安全控制最大限度地防范国家级的攻击行为和复杂的供应链攻击，这些都已成为可能。