安全情况瞬息万变,确保团队拥有保护公司基础设施和敏感数据所需的技能变得前所未有的重要。但总的来说,企业往往低估了网络安全的重要性。安全运营中心(SOC)团队通常人手不足,过度劳累,而且不受重视。而随着威胁形势的不断发展,需要掌握新技能才能领先于网络对手。
现代SOC团队想要在未来大规模检测和响应中取得成功,需要掌握以下五项重要技能。
1. 基本编程技能
“万物即代码”,这种将应用视为代码的想法扩展到操作系统、网络配置和管道的操作,已经极大改变了安全团队运营的方式和他们所需的技能。过去在SOC工作不需要编程技能,但如今SOC的工作中,编程技能必不可少。
“检测即代码”,这种使用软件工程原理编写检测的现代化系统性方法,意味着团队需要能够创建自定义规则,可以在版本控制中正确测试、版本更新和以编程方式管理的那种。全功能编程语言具备灵活性和稳健性,采用这种编程语言,团队不仅能够检测简单或复杂行为,还能执行上下文获取、丰富和全面呈现等其他操作。
安全团队应该通过解决面临的现实问题(比如分析大量原始数据)来学习软件开发基础。应该首先编写出能用的代码,再回头学习最佳实践、单元测试和其他有助于良好代码可持续性的技术。安全团队还可以向企业内各软件团队的成员学习,方便进行交叉培训。可以从解释性语言开始,例如Python或Ruby,这类编程语言不仅语法简单,还做了性能权衡。
2. 云技术
可以说,几乎所有现代技术公司都仰仗AWS或谷歌云等云服务。云服务继续攀登基础设施栈,持续简化复杂的概念。在这个转变过程中,安全团队需要继续收集相关数据集,做到随时了解最新情况,并逐步培育严格的控制,防止意外数据暴露或系统暴露。
安全从业者可以从基础服务学起,例如云存储、云计算、身份与访问管理等等。与编程学习一样,可以通过解决现实问题入手,比如安全数据的存储、处理和保留,或者通过强化公司现有基础设施来切实掌握云技术。此外,还有很多参考架构也可以作为非常有益的学习模型。
3. 安全日志管道
各个团队都在用软件即服务,而不是防火墙后面的内部解决方案,也就是说,安全数据遍布于多个服务上,集中控制相对要少很多。Google Workspaces、Auth0、Okta、Duo、Jamf等工具的兴起,催生了集中这些数据的需求。而问题在于,这些日志格式不同,所用API各异,用来验证和收集数据的方法也不一样。
安全团队必须尽可能多地收集数据,好了解当前情况,做好防御。他们必须采用rsyslog、vector、fluentd或logstash等工具建立内部日志管道。安全团队应该熟悉这些工具的配置和扩展方法,还应该了解怎样把这些工具插入到云存储和SIEM等其他系统中。
4. 攻击者技术、战术和程序(TTP)
深入了解最新攻击者技术、战术和程序(TTP)有助于安全团队制定一系列坚实的检测措施,管控好自身环境中的多条攻击途径。紧跟近期数据泄露事件可帮助团队了解现代威胁模型和技术,避免自家公司陷入同样的危险之中。勒索软件攻击的兴起就是个很好的样例。检测应该足够高保真,不会产生太多警报,而通过使用编程语言,团队可以测试和表达更复杂的攻击。
5. 威胁捕捉
网络对手越来越复杂高端,安全团队必须采取更加主动的方式来发现自身云基础设施中此前未知的威胁或未缓解的持续威胁。由于复杂的高级持续性威胁可以潜伏数周甚至数月之久,现代SOC团队必须经过培训,补充自动化系统的不足,并通过查找可疑活动模式来搜寻隐藏的恶意软件或攻击者。
安全团队通常规模不大,人手不足,而且往往不精通DevOps或软件工程。然而,大规模监测需要这些技能。此外,安全从业人员需要了解如何使用系统检测来获取他们需要的数据,并构建可靠、容错且具有弹性的数据处理管道来处理这些数据。
从学习编程基础到了解云基础设施,安全从业人员应当升级自己的技能集了。各种系统面对的攻击者确实是可怕的,但现代工具和经验丰富的安全人员可以应对安全防护方面的挑战。