文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

构建安全运营中心的必备技术栈

2024-12-03 02:23

关注

【51CTO.com快译】安全运营中心(Security Operations Center,SOC)主要负责维护、监控和保护组织中的信息系统和服务资源。作为一个情报中心,它能够实时收集在组织内部资产(包括服务器、网络、以及终端等)中流动的数据信息,并据此来识别安全事件,以及做出行之有效且及时的响应。

通常,SOC会涉及到广泛的技术、流程、以及经验丰富的安全专家团队。而为了提高效率,SOC经常会采用各种自动化的工具,来简化和支持团队的日常工作。例如,自动化的流程可以帮助他们识别出现有网络中的安全威胁,根据既定的风险标准和其他因素,来确定优先级,并按需给出相应的解决方法与建议。

归纳起来,SOC的主要活动和职责包括:

SOC技术栈的基本组件

常言道,没有过硬的技术,SOC将根本无法运营。下面让我们来讨论那些构成安全技术栈的关键工具。

安全信息和事件管理(Security Information and Event Management,SIEM)

SIEM会自动聚合那些来自多个网络源的大量安全相关数据,并且对其进行分析与关联。它可以帮助您将各种日志数据和网络流量,整合到一个仪表板中,以便各个相关方便捷地使用这些信息。

SIEM方案通常会带有内置的分析功能,可以让安全团队以数据可视化的方式,识别其发展趋势,并判定出可疑的模式。例如,通过收集和关联一系列来源的数据,SIEM系统可以协助分析师从看似互不相关的活动和事件之间,识别出彼此的关系,进而发掘到潜在的攻击信号。

SIEM平台的另一个优势在于,它们可以将数据整合到报告中。也就是说,SIEM平台能够出于合规的目的,自动生成审计报告。这些报告通过展现当前组织内部的风险状况,以协助各个利益相关方(包括不精通网络安全的高管、以及其他决策者)理解组织的安全态势。

威胁情报

威胁情报平台可以与SIEM系统相集成,提供警告的上下文。如今,各个组织往往会用到一整套安全工具,而其中的每个工具都会生成各种警告。如前所述,SIEM技术能够将各种工具生成的信息汇总起来。而威胁情报工具则会通过各种威胁向量、及其技术数据,让这些信息更加“丰富”、且有根据。

可以说,将威胁情报与SIEM结合使用的主要优势就在于:安全运营团队能够确定警告的优先级,减少误报的数量,确保自动化的流程更加高效,以及用最短的时间去处置那些真正可疑的异常行为与攻击。

当然,除了对警告进行优先级排序之外,威胁情报团队还能够通过提供上下文信息,让分析师有针对性地评估和确定每个警告的真正内容与风险级别。实际上,分析师和其他利益相关者可以使用威胁情报平台,快速地确定警告的来源,识别受影响的系统和设备,进而发现威胁的类型。如有需要,分析师还可以快速地开展更深层次的调查,并追逐相关的恶意活动。

Web应用程序防火墙 (WAF)

WAF旨在保护目标网络免受恶意流量的侵害。它通过参考OWASP十大安全漏洞、零日威胁、未知应用漏洞、和其他基于Web的威胁,及时有效地保护业务关键型Web应用,免受各种威胁的入侵。

虽然WAF有着多种类型,但是它们都有一个相似的目标——通过分析各种HTTP的交互,在恶意攻击抵达服务器之前,减少或消除这些恶意流量的准入。

与传统防火墙相比,WAF能够更好地了解通过HTTP传输的各类敏感信息。也就是说,WAF可以防范那些通常能够绕过传统网络防火墙的攻击。而其另一个关键优势在于:WAF不需要更改应用程序的源代码,而是通过检测恶意流量,来阻挡黑客利用应用漏洞的各钟可能。

扩展检测和响应(eXtended Detection and Response,XDR)

XDR技术属于主动防御类型的安全技术栈(请参见--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-features-and-use-cases/)。它不但提供了横跨多个数据源的全面可视性,而且使用警告分类和威胁搜寻的方式,来搜索数字资产中的未知威胁。凭借着大数据分析和人工智能(AI),XDR能够对包括云端、网络和终端等环境,开展自动化的智能搜索、数据关联、并提供各种丰富的属性值。

在搜索威胁之前,XDR方案会分析所有数据源中实体、操作、用户的各项行为。通过事先将此类信息予以关联,以便创建一个被视为正常行为的基线。而有了基线之后,XDR技术会检索各种异常行为,通过对其进行比对分析,让分析师更有针对性地去查找威胁。

SOC通常会采用XDR技术,来发现威胁的来源点、以及当前位置。同时,运营团队也可以利用XDR,来简化工作流程,并减少多任务处理的时间与复杂性。这里的多任务主要包括:事件调查和响应、威胁搜寻、以及事件分类等。

零信任

零信任安全模型的基本原则是:网络上的任何组件都是不可信任的。它会假设用户帐户和设备已经被盗用,因此只能向任何用户或设备授予尽可能少的权限,并且要不断验证身份。据此,零信任可以确保添加和实施更多的安全层面,以防止恶意行为者潜入网络,同时也防止内部人员执行未经授权的操作。

在零信任看来,内部网络与外部同样容易受到威胁的入侵,因此需要提供同等的保护。因此,那些落地了零信任的组织,会实施物理和逻辑上的网络分段技术,以确保网络中的各个实体,只能连接到相关的资产上,而不能横向移动到网络的其他部分。在技术实现上,零信任网络技术会对连接到公司系统的用户、以及应用程序和服务角色,进行强身份验证,并使用一个策略引擎,来确定“在何种情况下,允许谁访问哪些内容”。

安全自动化、编排和响应 (Security Automation, Orchestration, and Response SOAR)

SOAR是一个通过使用一系列集成工具,来实现自动检测和响应警告的平台。SOAR并非一个独立的系统,而是可以有效地编排和利用那些部署在SOC内部的其他系统。

SOAR通常可以提供如下功能:

可以说,SOAR不但可以使用自动化的剧本,来显著地加快对于警告的响应,而且还能够确保安全分析师,不会在重复的手动任务上浪费时间,进而将其现有的分析技能用于更为复杂的威胁场景中。

区块链网络安全

由于区块链技术能够在交易的双方之间建立真实的身份通信,也就是业界常提到的对等网络(peer-to-peer network)设计,因此区块链网络安全已正日益得到重视与关注。在该模型中,区块链中的每个成员都有责任验证任何被添加的数据真实性。据此,它为数据创建了一个几乎不可被渗透的网络,从而提供了高度的安全性。

小结

通过综合利用上述技术,SOC可以广泛全面地检测和响应各种安全威胁。最后,让我们总结一下SOC该如何有效地使用这些高级的安全工具:

原文The SOC Technology Stack: XDR, SIEM, WAF, and More,作者:Eddie Segal

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

 

来源:51CTO内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯