SOC2025:未来的 安全操作中心 版本1.2 发布:2022年5月24日 Securosis,L.L.C.515E.无忧无虑公路套房#766凤凰城,AZ85085T602-412-3051info@se- curosis.comwww.securosis.com 作者的注意 本报告中的内容是独立于任何赞助商编写的。它基于材料 最初发布在Securosis博客上,并经过增强、审查和专业编辑。 这份报告由Splunk许可。 Splunk平台之间消除了障碍 数据和行动,授权可观测性,它和安全团队,以确保他们的组织 安全、弹性和创新。 www.splunk.com Splunk成立于2003年,是一个全球性的公司拥有超过7500名员工,Splunkers 迄今为止已获得1,020多项专利和可用性在全球21个地区,提供了一个 开放的、可扩展的数据平台支持在任何环境中,使所有共享数据团队在一个组织可以端到端 每次交互的可见性、上下文和 业务流程。建立一个强大的数据基础 Splunk。 3.0Noncommercial-No衍生著作。 http://creativecommons.org/licenses/by-nc-nd/3.0/us/ Securosis-SOC20252 SOC2025 表的内容 的未来SOC进化4 使感觉的安全数据7 检测/分析12 付诸实施的SOC18 关于的分析师23 关于Securosis24 Securosis-SOC20253 即将到来的SOC进化 如今,运行安全运营中心(SOC)非常残酷。攻击面扩大 随着数据迁移到SaaS、应用程序迁移到容器以及基础架构迁移,呈指数级增长到云。SOC分析师使用的工具正在改进,但速度还不够快。似乎 对手仍然领先一步(或多步)。没有足够的人来完成工作。 您可以雇用的人通常需要大量培训,留住他们是有问题的。只要他们很体面,他们前往下一场演出以获得巨大的薪水。 与此同时,安全性正受到前所未有的关注。还记得过去没有的日子有人知道安全吗?那些日子早已一去不复返了, 他们不会回来了。因此,许多组织采用托管服务进行检测和响应, 主要是因为他们必须。我们如何发展SOC 在接下来的几年里 有些事情必须改变。实际上,很多事情必须改变。 这就是本文的内容。我们如何发展未来几年的SOC应对挑战 处理当今的安全问题,跨越 扩大的攻击面,熟练人员少得多, 解决的挑战今天的安全处理问题,在扩大 攻击表面,要少得多熟练的人,而 而定位为明天?明天的定位吗? SOC,它是什么? 我们看到SOC的两个突出用例。检测、调查和修正攻击和为审计/合规目的证实控制。我们不会涵盖 本文中的合规性用例。不是因为它不重要,审计仍然是一回事,审计准备工作仍应以尽可能高效和有效的方式进行。我们来了 解决安全的发展操作中心,专注于检测,调查, SOC和修复方面的工作。 你不能说(无论如何对于大多数组织来说)没有在 过去五年的安全工具。或者十年。无论您的时间范围如何,安全预算急剧增加。当然,鉴于攻击的扩大,别无选择。 表面和技术环境的复杂性。但如果财务人员客观地看待 在安全支出方面,他们可以(并且应该)提出一些关于价值的棘手问题。组织从这些重大投资中获得收益。 Securosis-SOC20254 还有摩擦。作为安全专业人员,我们知道100%的安全性是不可能的。不无论你花多少钱,你都可能(并且将会)被破坏。我们可以抛弃陈词滥调减少停留时间,或者证明如果没有 投资。你可能是对的。但正如我司机的教育老师告诉我的35年来前,“你也许是对的,但你还是会死的。” 我们还没有做很好管理安全的结果和交流这些 成就。我们的安全工作需要什么样的结果?我们的心态需要 从活动转向结果。那么我们需要从SOC获得什么结果呢?我们需要找到并在数据丢失之前修复安全问题。这意味着我们必须提高我们的检测能力并显著改善和简化我们的运营运动。找到所有 漏洞。就像错过它们不会受到惩罚一样。SOC需要掌握检测,调查并将该信息转化为有效的补救措施之前数据丢失。 改进的工具 一旦我们意识到关注安全结果的思维转变,我们就可以专注于如何。SOC如何更好地检测、调查和修复攻击?这就是更好的工具发挥作用的地方。好消息是SOC工具比 甚至在五年前。改进分析和安全自动化等创新使SOC走得更远更好的能力。但只有在SOC使用它们。 好消息是,SOC工具是更好的比 甚至五年前。创新和改进 分析和安全自动化给soc远 更好的能力。但前提是 SOC使用它们。 心智正常的SOC领袖不会取 这些新功能的优势?在概念上,它们都会而且应该。实际上,太多人没有和不能。问题是文化和进化的问题。这安全团队甚至可以处理检测 调查。但补救是一项跨职能的工作。安全的结果取决于什么?你 猜对了——补救。因此,从根本上说,安全性是一种团队运动,SOC是团队的一部分。 这意味着解决安全问题需要适应组织其他部门的业务动议。 SOC可以而且应该自动化,尤其是事情在他们的控制范围内。但大多数自动化需要其他运营团队的支持。最终 如果信息不能一致且有效地转化为行动,SOC将无法完成其使命。 重点发展 我们将在本文中处理内部和外部演变。我们将从向内转向开始花时间了解SOC如何从两者收集安全遥测数据的演变 内部和外部来源。考虑到必须考虑的新数据源的绝对数量 (IaaS,PaaS,SaaS,容器,DevOps等),聚合正确的数据是战斗的第一步。 Securosis-SOC20255 接下来,我们将解决检测和分析问题,因为这是SOC的命脉。再一次,你没有得到检测事物的点,但如果 错过攻击。分析领域是过去几年创新发生最多的地方 年,因此我们将深入研究一些用例,并帮助您了解ATT&CK和 诸如扩展检测和响应(XDR)之类的热门营销术语应该会影响您的SOC 计划。 最后,我们将通过获取什么(准确检测)并将它们转换为如何(有效补救),产生积极的安全结果。操作化至关重要在这种背景下的概念。 Securosis-SOC20256 制作的安全感数据 智能来自数据。而且不乏安全数据,这是肯定的。万事 生成数据。服务器、端点、网络、应用程序、数据库、SaaS服务、云、容器,以及在技术环境中执行任何操作的任何其他内容。就像没有 发现每个漏洞的奖励,没有收集所有安全数据的奖励。你想 收集正确的数据,以确保您可以在攻击成为漏洞之前检测到攻击。 当我们考虑2025年的SOC会是什么样子时,鉴于不断变化的攻击面和可用技能 基地,我们必须面对现实。可悲的事实是,结核病的安全数据在各种数据存储中未得到充分利用 在整个企业中。这不是因为安全性分析师不想使用这些数据。他们没有评估摄入数据和一致的过程 不断分析它。但是我们之前不要得到购物车 众所周知的马。首先,让我们弄清楚哪些数据会推动未来的SOC。 安全数据基础 可悲的事实是,TBs的 安全数据坐没有得到充分利用在不同的数据存储 整个企业。安全分析师没有一致的过程评估 摄入数据和分析它 不断。 在过去十年中,安全数据的基础来源没有太大变化。你从安全控件中的数据开始,因为1)控件可能正在检测或 阻止攻击,以及2)您仍然必须为您的友情(或不是这样)证实现有的控制 友好)审计员。这些来源包括来自防火墙、IPS、Web代理、电子邮件的日志和警报网关、DLP系统、身份存储等。您还可以收集网络流量,包括流量 甚至包。 来自EDR或下一代EPP产品的终结点遥测数据如何?终结点数据具有重新引起兴趣,因为远程员工并不总是遍历公司网络,从而导致 在他们的活动和安全态势方面存在盲点。不利的一面是,端点数据是丰富,可能会在规模和成本方面产生问题。必须权衡同样的考虑因素关于网络数据包。 但是,让我们将该讨论放在几个部分中,因为之前还有更多上下文要讨论真正确定是否需要将所有数据推送到安全数据存储中。 Securosis-SOC20257 用例 一旦你得到了明显的东西,你需要更广泛和更深入地提供数据。需要使用高级用例发展SOC。这意味着(有选择地)拉入应用程序 和数据库日志。你可能有一个不愉快的闪回,当你过去尝试过的时候。您基于RDBMS的SIEM失败了,您花了三天时间生成包含所有 需要的数据。但请听我们说;您不需要获取所有应用程序日志,只需获取相关日志。 这使我们意识到在规划用例时威胁模型的重要性。没错,老派威胁模型。您找出环境中最有可能受到攻击的内容(考虑高价值信息资产),然后向后工作。攻击者将如何破坏数据或 这就引出了威胁模型的重要性 当计划用例。你 找出最有可能是什么攻击你的 环境(认为高价值信息资产) 工作落后。 设备?你会需要检测什么数据 攻击?你有这些数据吗?如果没有,你怎么得到它?聚合,然后调整。清洗、冲洗并重复 额外的用例。 我们知道这似乎不是一种进化;这是 十多年来我们一直在做同样的事情,对吧?不完全是;您可以使用的分析是 有了很大的改进,但继续受到 安全数据的可用性。然而,您无法捕获所有数据,因此请关注威胁模型和用例 能回答你的问题需要知道的。 云资源 鉴于似乎一切都在云化,我们需要提到两个(相对)新的来源 安全数据:您的IaaS(基础架构即服务)提供商和SaaS应用程序。鉴于进入云的数据的敏感性,超过安全人员看似死亡的尸体 永远不会让这种情况发生,你将需要来自这些环境的一些遥测数据来计算了解正在发生的事情,如果这些环境面临风险,并最终能够响应 潜在问题。此外,您需要注意移入/移出云的数据,因为检测对手何时可以在您的环境之间切换至关重要。 这与上面讨论的应用程序和数据库遥测是否完全不同?没那么多在内容上,但绝对在位置上。那么问题就变成了云的内容和数量安全数据集中吗? Securosis-SOC20258 外部数据呢? 如今,您不只是使用您的数据来寻找攻击者。您使用其他人的数据,或在其他单词,威胁情报,它使您能够查找以前从未见过的攻击。 威胁情报也不是什么新鲜事,威胁情报平台(TIP)正在被纳入更广泛的SOC中。平台或演变为更多地关注安全运营或分析师。还有很多来源 威胁情报,一些商业和一些开源。神奇的是了解哪些来源 会对你有所帮助。这涉及管理和评估第三方数据的相关性。如 我们考虑将驱动SOC的安全数据,有效地利用威胁英特尔是一个战略的基石。 (安全数据)湖的冷却 在SIEM的早期,无法选择存储安全数据的位置或方式。你选择一个SIEM,将数据放入其中,从 供应商,调整规则并添加更多,从系统生成报告,以及 希望找到一些攻击。随着安全工具的发展,现在您可以选择如何构建安全监控环境。 让我们从聚合开始。或者现在所说的安全数据湖。这个新术语 表示这不是你爷爷的SIEM。相反,它是一个存储更多遥测数据的地方 并更好地使用它。这个新奇的数据湖根本不需要是新的,甚至不必是一个数据湖。你仍然可以选择购买SIEM,让它引入和处理安全数据,并生成 警报。和以前一样,但有一个闪亮的新名字。 或者,您可以使用供应商的多租户基于云的聚合服务,收集您的遥测并在其云资产中进行分析。像其他SaaS服务一样,您可以摆脱操作基础结构。您还可以使用供应商的分析和其他辅助服务,例如飙升,因为它是一个封闭的环境。 最后,你可以自己做(DIY)。DIY选项涉及使用现代数据存储(如Mongo或雪花)来存储您的数据。查找或生成用于引入的连接器。您使用平台的 (或第三方)分析功能,用于设计检测并生成报告。这似乎是一个很多工作,但这是一个选择。 下一个决定是你需要多少个湖泊?传统上,您会集中数据,因为操作两个本地SIEM是没有意义的。但考虑到在 premvs.cloud与托管服务,拥有不同的安全监控环境是可行的涵盖基础架构的其他领域。这一决定归结为操作动议 当警报发生火灾。 Securosis-SOC20259 如果决定集中安全数据,应将其添加到SIEM中,还是迁移到基于云的环境?这取决于您未来的平台策略。