安全操作中心(SOCs)遇到的威胁很快就会从传统的网络攻击转变成大范围的破坏性勒索软件攻击,甚至是复杂的民族国家攻击。在这种情况下,目前通过警报进行的分流和补救措施可能会失败。
虽然警报是一个很好的调查起点,但它们并不能帮助防御者有效地补救攻击的严重性、影响和蔓延。安全团队需要从孤立的警报队列转变为能够处理整个端到端攻击的事件。
从基于警报的分流和补救系统转向围绕全面的事件补救而建立的系统有巨大的优势,包括节省时间和资源,大大减轻安全团队的负担,以及全面加强建立在零信任和深度防御方法上的安全态势。
事件视图让分析人员立即看到大局,了解攻击的严重性和程度,这有助于SOC对关键事件进行优先排序,并制定一个明智的行动方案。它还大大减少了分析员队列中的工作项目。
关联性提供了活动是恶意的信心,因此事件得到更快、更容易的分流。确定事件中的一个活动是恶意的,就会对整个事件定罪,这有助于消除假阳性事件。
事件使分析人员能够发现杀戮链中的 "空白",并通过将事件中的警报与MITRE ATT&CK知识库中的技术和战术进行映射,根据上下文填补这些空白。例如,如果我们看到事件中的初始访问和横向移动活动,我们就可以利用这一点来发现那些不足以触发警报的持久性、指挥和控制以及凭证盗窃战术。我们可以通过执行路径自动回滚,找到最初的进入点,并向前滚动以揭示攻击的全部范围--这对决定如何遏制威胁、驱逐攻击者和补救资产损失至关重要。
因为我们是针对事件而不是单个警报采取行动,所以SOC游戏手册也可以针对整个事件。这消除了 "追逐 "单个警报的需要,并实现了持久的更高层次的指导,不会因为每个新的警报类型而改变。在弄清事件的影响后,游戏手册现在可以清楚地识别、优先考虑和协调遏制步骤,以便一次性地完全驱逐攻击者。
最后,事件模型将所有受影响的资产收集到一个共同的桶中,从而可以全面执行补救措施。
随着威胁防护的发展,SOC需要调整和扩展其流程。立即采取四项行动来开始这个旅程。
1. 从警报到事件的分类
无论您的SOC使用SIEM还是XDR安全产品进行初始分流,都要确保它能在警报之上提出有意义的相关事件。根据对你来说很重要的参数,如该威胁的潜在风险、技术的范围和杀伤链的进展,以及受影响资产的重要性,对你的事件队列进行优先排序。
将您的 SOC 操作手册与网络钓鱼、勒索软件和广告软件等事件类别相匹配。针对每个事件类别,定义 SOC 分析师应采取的措施,以快速了解该事件是真正的威胁还是虚惊一场,并立即阻止其发展。
根据阶段或技术,为调查个别事件警报提供指导。确保发现并捕获事件中的所有攻击者活动和受影响资产--这构成了事件补救计划的基础。
最后,在考虑了整个事件(包括所有受影响的资产和证据)后,在受影响的资产中调用补救措施,使其恢复到干净的运行状态。
2. 自动化
以结构化和持久的方式将SOC的游戏手册映射到事件上,可以实现协调的流程自动化。有些事件类别可以完全自动处理,并在不需要SOC关注的情况下得到端正的解决。对于其他事件,有些部分可能是自动化的(例如,初始分流、批量修复),而其他需要专业知识的部分仍然是手动的(例如,调查)。自动化应该利用事件图来确定在哪里以及如何协助分析员,节省重复的手工工作,并使SOC能够专注于更复杂和高风险的事件。
3. 带着团队一起行动
花时间解释与相关事件合作的好处,以及这种方法如何改变防御者的游戏。探索MITRE ATT&CK框架,并使用它来构建你的SOC游戏手册的事件指导,使其具有扩展性和耐久性。当一个新的警报检测到渗透,并且它被映射到适当的战术或技术,现有的指导适用,不需要特殊的警报上机或新的指导。
记录对先前案例采取的行动--集成到你的安全工具中--并使用这些数据来帮助分析人员了解如何更好地处理新的事件,并随着时间的推移调整流程。将这些经验扩展到整个行业的合作中,可以为组织和整个安全社区带来巨大的好处。
4. 先试后买
寻找一种安全产品,使您的组织能够转向事件并支持这种SOC流程的演变。它应该实现将警报自动关联到事件、优先级、事件分类,以及在事件和警报层面将您的SOC游戏手册映射到MITRE ATT&CK战术和技术的能力。
不要忘记定制,每个组织都有自己的偏好和特殊流程。寻找能够根据组织内部和整个行业的事件历史整合行动建议的产品。