根据联邦调查局的数据, 网络攻击 报告给他们的网络部门比 大流行前水平,并且攻击越来越严重。 从金融网站到医疗保健网站,从政府网站到供应链行业,没有人能免受这些攻击。 针对这些威胁的传统防御措施是 安全运营中心SOC) – 一个房间里挤满了分析师,他们正在观看电视屏幕上的安全警报 – 但这种防御措施并不奏效 – 只需询问 网络安全 Continental Pipeline、Target、TransUnion 或其他数百家遭受重大攻击的公司中的任何一家的团队。
怎么样 SOC 有效,也无效
背后的运营理论 SOC 就是如果你通过各种不同的方式在整个企业收集到足够的数据 IT 和安全工具,然后使用分析平台对来自不同工具的警报进行排序和可视化,然后最终部署一个分层的分析团队来管理和响应警报,然后可以肯定地,大多数或所有的网络攻击都会在它们造成真正的损害之前被迅速发现和处理。 现实世界的经验告诉我们并非如此。
为什么有几个原因 SOC 模型 被打破。 首先,所有这些安全工具都会发出大量警报——数以千计的警报,其中许多是良性的。 例如,通常在办公室从远程位置登录的用户可能会触发警报,或者在工作时间之外登录的用户可能会触发警报。 安全分析师每天必须处理成百上千个这样的“误报”警报。
另一个原因 SOCs 失败的原因是使用中的每个离散的网络安全工具都有自己的数据格式,通常还有自己的控制台,最终只描述了组织安全态势的一个方面。 在当今世界,许多复杂的网络攻击是通过两个或多个媒介发生的——不仅仅是有人攻击防火墙,它可能是通过电子邮件进行的网络钓鱼攻击,或者是在例行程序更新期间下载的病毒(如 SolarWinds攻击问题在于,在 SOC没有人能够天生就掌握全局——这需要分析师团队手动关联成千上万条警报。由于这个过程是手动的,因此无法实现强大的自动化,也无法确保每条警报都能得到关注。
所以,警报太多,工具太多,工具之间的自动数据关联不够。 但还有另一个问题:没有足够的分析师。 网络安全专业人员的全球研究 信息系统安全协会 (ISSA) 和行业分析公司 企业战略小组(ESG) 报告称,对网络安全工具的投资不足,加上分析师面临额外工作量的挑战,正在导致技能短缺,从而导致信息安全人员的工作空缺和高度倦怠。 这也推高了分析师的成本:顶级网络安全分析师每年可以赚取 200,000 美元。
当然,所有这一切都发生在一个网络攻击每个月都变得越来越复杂和数量越来越多的世界里。
SOC少——另一种方式
但是,如果公司放弃了 SOC 主意? 如果他们将网络防御分布在地理上并分配给基础设施专家团队会怎样? 如果一个平台自动化了响应低优先级警报的日常工作以及跨所有 IT 和安全工具关联的复杂工作会怎样? 如果分析师花时间主动寻找威胁并实施最佳实践策略会怎样? 如果不存在警觉疲劳怎么办? 这可能吗?
它是。 我们可以向软件开发团队寻求它如何工作的示例。 在 DevOps(一种现代的软件开发方法)中,世界上最好的软件公司不会将他们的开发人员排成一排 - 他们拥有允许来自世界各地分散人员的异步协作的系统。 但它不仅仅是人们坐的地方。
在 DevOps 中,创新和错误修复是建立在持续集成和持续交付 (CI/CD) 系统之上的持续 24/7 操作。 现代 CI/CD 允许开发人员专注于构建,并使最小的团队能够构建定义市场的产品。 日常和复杂的任务在 CI/CD 中是完全自动化的,开发人员需要对他们推出的所有功能进行主动测试。 这显着减少了系统中的错误和错误,使开发人员能够专注于最重要的事情。
一个传统的工作 SOC 正在让一个专门的人类团队对抗成千上万的警报。 但一流的科技公司采用了一种新模式:可信、有据可查、高保真警报受到关注,但由于自动化,大多数警报可以被忽略。 最先进的网络安全平台会自动向负责该特定区域的基础设施或应用程序所有者发送例行警报——无论是防火墙、最终用户、应用程序还是服务器——以及一组推荐的响应。 作为 亚历克斯·梅斯特雷蒂 (现任 Remily 首席信息安全官,曾任 Netflix 工程经理,负责安全运营团队) SOC较少的) 把它, 这就是 SOC减 – 将警报分类下放给系统专家。 提醒疲劳的解决方案不是更多的人或更多的数据,而是具有分散流程的强大自治系统。
迁移至 SOC减
为了做到这一点 SecOps 在模型工作中,安全部门需要人们不断贡献有意义的策略变更、检测策略和剧本,而不是盯着监视器寻找警报。 达到这种状态需要付出努力和投入,但如果分析师一直在监控警报,他们将永远无法解决问题。 为了实现主动性,安全团队需要 CI / CD 相当于安全基础设施。
第一个要求是具有易于应用的卫生最佳实践的核心风险管理控制。 一个典型的例子是零信任的彻底实施; 这不仅可以改善您的安全状况,还可以减少警报和噪音,从而简化数据问题。 第二个要求是网络安全 检测与响应平台 可以快速部署策略和剧本的地方。 快速部署和配置至关重要——从检测和响应想法到生产部署的时间应尽可能接近于零。 任何支持这一点的检测和响应平台都将易于使用,并且具有重要的开箱即用内容,包括基于 AI 和机器学习的检测,因为规则不会削减它。
我要参加 SOC减 然而,需要的不仅仅是技术。 这需要一支敬业的团队和重新构想的流程——适应重要的自动化,让基础设施所有者直接接收相关警报,并将大部分时间用于主动安全工作。 然而,总是需要人员,对于许多企业来说,通过托管安全服务提供商增加内部人员是保持积极主动的一种经济有效的方式。 企业确实需要人员来确保持续部署正确的策略,并且 的MSSP 通过检测和响应平台的共同管理部署,企业可以根据需要扩大支持。 就像企业已经转向云提供即服务产品一样,他们可以转向 MSSP HPMC胶囊 SOC-as一种服务 供品。 这将有助于许多人完成内部 SOC减 过渡。
因此,通过仔细研究分布式 DevOps 功能并将其映射到分布式安全操作 (SecOps),公司可以开始在发现和修复复杂攻击方面领先于黑客。 实现它需要真正改变观念,但地球上许多最大和最先进的公司已经离开 SOC减. 也许其他公司也该这样做了。
