安全运营中心(SOC)技术框架

2018年曾经画过一个安全运营体系框架,基本思路是在基础单点技术防护体系基础上,围绕着动态防御、深度分析、实时检测,建立安全运营大数据分析平台,可以算作是解决方案+产品的思路。

依据这个体系框架,当时写了《基于主动防御能力,建设安全运营体系的一点思考》文章,感兴趣的可以翻回去看下。

最近对安全运营中心(SOC)技术框架进行了一个梳理,可以算作是对2018年安全运营体系框架的一个升级版本,不同的是这次从安全运营中心(SOC)职能出发,对其日常工作需要进行支撑的技术模块进行了梳理

由于某些原因,最新的框架图就不直接放上来了,但是对其中的内容拆解后,罗列一下提纲。

安全运营中心(SOC)总体框架核心内容,从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心(SOC)下的基础还是安全防护体系(安全资源层),贯穿每层会有外部输入、外部输出的内容。

数据资源层可以叫做大数据湖(Big Data Lake),或者叫做安全大数据中心(Security Data Center)都可以,其中的数据类别包括安全告警数据(高威胁、低可信)内容数据(低威胁、高可信)上下文数据(资产、威胁、漏洞等),当然数据内容多少是随着运营成熟度而逐渐丰富的。

基础运营层为较低成熟度安全运营内容,包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台(SIEM)、威胁情报平台就可以实现。

基础运营层最为核心的当然是安全告警分析了,可以具体再细分为实时分析、离线分析两类。具体的可以参见下图:

基础运营层的特点是有各自系统与平台,按人员分工分别运营并依靠管理制度进行协作,实现的都是基础性安全工作。对于一般性的企业能够把这些做好了,已经非常不错了。

如果往高成熟度发展,一个是要提高运营效率,包括编排与自动化、事件聚合、智能交互等都是为了提高效率;另外一个当然是增强运营效果,核心就是对抗安全高级威胁,包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。

这时候就要考虑进阶安全运营的内容了,这一层按照性质不同分为两个部分,第一个部分就是当前比较热的安全编排与自动化响应,这一部分其实是安全高阶运营所应该具备的能力,去支撑或赋能高阶运营工作的开展。

在这部分中,资源生态是前提,编排能力是基础,标准知识库是才是最具价值的核心。再次强调一下,编排与自动化是结果,而非驱动。

只有具有成熟的运营流程SOP,才能转化为标准化的安全剧本,如果想不出来剧本,可能是安全运营工作还比较初级,还不用考虑如何用编排与自动化提高效率。

进阶运营层的另一部分内容是在安全编排与自动化响应,以及在以下各层的资源和数据基础上,开展的高级运营工作内容。包括事件管理(这里面的事件是Incident,而非数据层的Event,也并非是SIEM中的Alert),风险挖掘、安全对抗三类内容。

事件(Incident)管理包括自动化分析、交互分析,成熟场景建立自动化分析提高效率,非成熟场景依托交互分析提高分析人员的便捷性。

风险挖掘包括威胁猎捕,包括诱捕、取证等,以及漏洞挖掘两部分。

安全对抗则包括技术上的对抗,以及人员意识层面的对抗。额外说一句意识对抗一直是被安全运营忽视的重点。

最上面是风险绩效层,这里面风险监测建议参考银行业的信息科技关键风险指标KRI的思路,有兴趣可以自行搜索一下相关内容。另外一部分的安全协同相对比较通俗,不需要过多解释。

需要说明一下的是安全绩效这个内容,一直以来安全的工作重点就是发现入侵,尤其是发现常规技术发现不了的成功入侵,这带来一个问题就是如果没有有效的安全告警或事件,安全人员就有些心慌,体现不了价值。

所以在安全监测的基础上,要考虑安全绩效的内容,即如何体现安全工作的价值。比如安全攻击的自动拦截次数、安全应急预案的有效性、安全成熟度的提升以及安全防御改进的效果等。

核心的内容就以上这么多,外部输入、外部输出直接上图吧,打字太累了。

最后推荐下GitMind,经常画思维导图、流程图的值得拥有。

优秀书籍推荐,点击链接购买

扩展  ·  本文相关链接

·安全运营(SOC)中的SIEM、SOAR与Threat Hunting

·安全运营的定义与核心目标

·SOAR还面临着一条很难跨越的鸿沟

· 基于主动防御能力,建设安全运营体系的一点思考

(0)

相关推荐