本文原作者:Anton Chuvakin(目前在Google Cloud从事安全解决方案战略工作,前Gartner杰出分析师),笔者编译和整理。
Q1:您提到SOC首先是一个团队:"基本 "SOC与现代SOC的区别在于哪些技能?
A:从我们的分享中,比较清楚的是,这种技能包括threat hunting、威胁情报、数据分析和其他。这些在传统的SOC中不太常见。
Q2:我们能否实现基于AI/AL的完全自动化的OODA?完全自动化的日志源收集、威胁检测规则创建、剧本规则创建、响应、自动集成和执行。
A:今天和不久的将来,我认为大多数SOC流程都不可能完全自动化。坦率地说,最麻烦的部分是在自动响应和其他行动发生的链的末端。它们也是其他需要人类决策来处理高度不确定性的情况。最后,即使是为许多棘手的遥测信号源上线,有时也需要人工迭代和调整配置。
目前,自动化在检测(创建告警)和分类(丰富和确认告警)等领域中更加普遍,但是在补救和数据上线方面则很少。我不指望这里很快会有任何大规模的变化,但随着企业采用更多的公共云,这些领域的自动化也会增长。所以,在5年后再问我,但实际上更像是10年。
Q3:SIEM和SOC之间的区别是什么?
A:SIEM是一种特殊的安全工具,而SOC是一个团队的名称,以及他们使用的相关流程和工具(工具,如SIEM)。这就是为什么当我听到(安全运营即服务)SOC-as-a-service时,我总是有点怀疑,而我更喜欢MDR(托管检测与响应)这个词。
Q4:如果我们无法将顶级攻击者赶出我们的网络,那边公司如何应对这种风险?
A:在这里很难给出规范性的建议,因为这是一个艰巨的挑战,并且属于沉重的“视情况而定”领域。遇到这种情况的大多数组织将需要寻求帮助,并邀请第三方事件响应团队帮助他们进行调查,并最终将攻击者赶出去。
虽然听起来很悲哀,但你完全有可能遇到一个只是比你自己的团队更好的攻击者(即使你的团队很好)。在这种情况下,你也需要寻求帮助,尽管有成本,但这是没有办法的事。
Q5:我的理解是否正确,我们听到的主张是采取基于风险的方法来设计和管理现代SOC?
A:在你的问题中,"基于风险 "的意思并不完全明确。大多数目前正在运行的SOC并不完全是基于合规条例中的固定检查表建立的。在这个意义上,我遇到的大多数SOC至少在某种程度上是基于风险的。
Q6:怎样才能成为一个好的SOC?
A:坦率地说,我不认为我对这个问题有一个简短的答案。我认为一个糟糕的SOC是过度关注技术并有过度严格的流程,而一个好的SOC是真正关注人,然后关注流程/工作流。
Q7:关于SOC工具,您对SOC中使用的AI工具有什么看法?
A:当然,这是一个迷人的问题,我花了很多年的时间试图回答这个问题,从我还是一个分析师的时候开始。我想随着时间的推移,我已经达到了一个立场,即唯一的方法是在短期内对人工智能的安全性持怀疑态度,但最终在长期内持乐观态度。
自然,我们有很多供应商疯狂地(对不起,这里没有链接......)夸大其词地宣称他们的ML/AI工具如何帮助安全分析人员。然而,正如人工智能发展到帮助人类努力的其他领域一样,网络安全也不是一个例外。
今天,你在SOC中最可能遇到的基于机器学习的工具是某种形式的异常检测,如UEBA工具或NDR。当然,这些工具是有效的,它们产生的告警往往是有用的(就像常规的基于规则的告警)。然而,我非常清楚,今天的SOC中没有 "cyber AI "的魔力。
Q8:您对threat hunter人员的技能要求是什么?
A:这是一个非常难以回答的问题,我在做分析员的时候确实尝试过回答这个问题。鉴于伟大的狩猎最终是一门艺术,但上述艺术家也需要成为一个顶级的技术专家,因此定义一个技能组合是非常困难的。可以肯定的是,威胁知识、深厚的IT技术知识和创造性思维在这里都是必须具备的。
Q9:一个小公司/创业公司如何权衡人才与工具和成本?
A:这是我在分析员时代就已经解决的另一个问题。我们很早就清楚,随着小型组织将使用更多的第三方服务,即一些人所说的外包服务。有些人根本就没有SOC,而是利用MSSP或MDR供应商。其他人将使用一个混合模式。
当然,这也有其自身的隐患和好处。一个关键的隐患是,不能认为你给别人钱,他们就会把你的安全做好......
Q10:SOC即服务和内部SOC的情况如何?您的建议是否适用于这两种情况?
A:如果你说的SOC即服务是指使用MSSP或MDR供应商,那么网络研讨会上的一些建议也适用。MSSP供应商可能遵循更传统的SOC方法,或者他们可能使用这里讨论的现代SOC元素。我遇到的许多MDR供应商都采用现代SOC方法。
原文链接:
https://medium.com/anton-on-security/soc-trends-isac-webinar-q-a-8e500093a1d3
往期精选
围观
热文
热文
本文始发于微信公众号(天御攻防实验室):十问现代安全运营
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论