根据NIST Cybersecurity Framework,网络安全工作可以分为识别、防御、检测、响应、恢复五个大的阶段,安全建设在识别、防御、恢复三个阶段成熟度已经比较高了,相比之下检测、响应是当前安全能力短板。
在检测方面,目前多是以单点检测为主,检测的误报率较高,有效的告警信息被淹没在海量的无效告警中;同时,传统单点检测设备检测能力有限,很难检测未知威胁与潜伏威胁。
在响应方面,目前多是以应急预案为主,与恢复阶段的内容结合的比较紧密,多是事后的恢复类响应,针对实时检测出的威胁事件的针对性响应不足,主动式响应能力不足。
再进一步说,识别、防御、检测、响应、恢复没有通过技术手段真正联动起来。包括安全检测与分析对于实时自动化风险分析贡献不足,以及在响应的过程中也没有与识别与防御能力进行联动。
正因如此,安全运营中心建设智能中枢或者安全大脑,其核心能力主要包括四个,包括1、精准定位已知威胁;2、深度检测未知威胁;3、丰富安全事件场景;4、辅助安全运营决策。
1、精准定位已知威胁:单点安全检测设备能够产生有价值的告警,但往往被低质量的告警所淹没了,所以需要从海量数据中进行精准定位。
2、深度检测未知威胁:单点安全设备检测高级威胁、未知威胁能力有限,同时安全威胁已经扩展到用户行为、业务异常等领域,所以要弥补单点安全设备检测能力短板。
3、丰富安全事件场景:利用事件(Event)、日志(Log)产生告警(Alert),再进一步聚合成安全事件(Incident),以及整合资产、漏洞、威胁等上下文数据,明确攻击链条、事件时间线以及风险等级。
4、辅助安全运营决策:针对安全事件能够清晰的描述发生了什么?为什么发生?未来会不会发生?该如何应对?为进一步的安全响应,以及安全防御措施完善,提供决策指导。
至于现在比较火热的SOAR,Securonix的一张方案图比较直观,可以看出中间环节做好了,才能进行安全响应处置,安全响应处置流程标准化了,才能进行安全编排与自动化响应,SOAR目的是减少人工参与,提高运营效率的手段。
另外,Securonix SOAR的这张图挺有意思的,可以解读出来很多信息,有机会以后再谈。
领取专属 10元无门槛券
私享最新 技术干货