安全操作中心(SOCs)遇到的威脅很快就會(huì)從傳統(tǒng)的網(wǎng)絡(luò)攻擊轉(zhuǎn)變成大范圍的破壞性勒索軟件攻擊，甚至是復(fù)雜的民族國家攻擊。在這種情況下，目前通過警報(bào)進(jìn)行的分流和補(bǔ)救措施可能會(huì)失敗。

[[443307]]

雖然警報(bào)是一個(gè)很好的調(diào)查起點(diǎn)，但它們并不能幫助防御者有效地補(bǔ)救攻擊的嚴(yán)重性、影響和蔓延。安全團(tuán)隊(duì)需要從孤立的警報(bào)隊(duì)列轉(zhuǎn)變?yōu)槟軌蛱幚碚麄€(gè)端到端攻擊的事件。

從基于警報(bào)的分流和補(bǔ)救系統(tǒng)轉(zhuǎn)向圍繞全面的事件補(bǔ)救而建立的系統(tǒng)有巨大的優(yōu)勢，包括節(jié)省時(shí)間和資源，大大減輕安全團(tuán)隊(duì)的負(fù)擔(dān)，以及全面加強(qiáng)建立在零信任和深度防御方法上的安全態(tài)勢。

事件視圖讓分析人員立即看到大局，了解攻擊的嚴(yán)重性和程度，這有助于SOC對關(guān)鍵事件進(jìn)行優(yōu)先排序，并制定一個(gè)明智的行動(dòng)方案。它還大大減少了分析員隊(duì)列中的工作項(xiàng)目。

關(guān)聯(lián)性提供了活動(dòng)是惡意的信心，因此事件得到更快、更容易的分流。確定事件中的一個(gè)活動(dòng)是惡意的，就會(huì)對整個(gè)事件定罪，這有助于消除假陽性事件。

事件使分析人員能夠發(fā)現(xiàn)殺戮鏈中的 "空白"，并通過將事件中的警報(bào)與MITRE ATT&CK知識(shí)庫中的技術(shù)和戰(zhàn)術(shù)進(jìn)行映射，根據(jù)上下文填補(bǔ)這些空白。例如，如果我們看到事件中的初始訪問和橫向移動(dòng)活動(dòng)，我們就可以利用這一點(diǎn)來發(fā)現(xiàn)那些不足以觸發(fā)警報(bào)的持久性、指揮和控制以及憑證盜竊戰(zhàn)術(shù)。我們可以通過執(zhí)行路徑自動(dòng)回滾，找到最初的進(jìn)入點(diǎn)，并向前滾動(dòng)以揭示攻擊的全部范圍--這對決定如何遏制威脅、驅(qū)逐攻擊者和補(bǔ)救資產(chǎn)損失至關(guān)重要。

因?yàn)槲覀兪轻槍κ录皇菃蝹€(gè)警報(bào)采取行動(dòng)，所以SOC游戲手冊也可以針對整個(gè)事件。這消除了 "追逐 "單個(gè)警報(bào)的需要，并實(shí)現(xiàn)了持久的更高層次的指導(dǎo)，不會(huì)因?yàn)槊總€(gè)新的警報(bào)類型而改變。在弄清事件的影響后，游戲手冊現(xiàn)在可以清楚地識(shí)別、優(yōu)先考慮和協(xié)調(diào)遏制步驟，以便一次性地完全驅(qū)逐攻擊者。

最后，事件模型將所有受影響的資產(chǎn)收集到一個(gè)共同的桶中，從而可以全面執(zhí)行補(bǔ)救措施。

隨著威脅防護(hù)的發(fā)展，SOC需要調(diào)整和擴(kuò)展其流程。立即采取四項(xiàng)行動(dòng)來開始這個(gè)旅程。

1. 從警報(bào)到事件的分類

無論您的SOC使用SIEM還是XDR安全產(chǎn)品進(jìn)行初始分流，都要確保它能在警報(bào)之上提出有意義的相關(guān)事件。根據(jù)對你來說很重要的參數(shù)，如該威脅的潛在風(fēng)險(xiǎn)、技術(shù)的范圍和殺傷鏈的進(jìn)展，以及受影響資產(chǎn)的重要性，對你的事件隊(duì)列進(jìn)行優(yōu)先排序。

將您的 SOC 操作手冊與網(wǎng)絡(luò)釣魚、勒索軟件和廣告軟件等事件類別相匹配。針對每個(gè)事件類別，定義 SOC 分析師應(yīng)采取的措施，以快速了解該事件是真正的威脅還是虛驚一場，并立即阻止其發(fā)展。

根據(jù)階段或技術(shù)，為調(diào)查個(gè)別事件警報(bào)提供指導(dǎo)。確保發(fā)現(xiàn)并捕獲事件中的所有攻擊者活動(dòng)和受影響資產(chǎn)--這構(gòu)成了事件補(bǔ)救計(jì)劃的基礎(chǔ)。

最后，在考慮了整個(gè)事件(包括所有受影響的資產(chǎn)和證據(jù))后，在受影響的資產(chǎn)中調(diào)用補(bǔ)救措施，使其恢復(fù)到干凈的運(yùn)行狀態(tài)。

2. 自動(dòng)化

以結(jié)構(gòu)化和持久的方式將SOC的游戲手冊映射到事件上，可以實(shí)現(xiàn)協(xié)調(diào)的流程自動(dòng)化。有些事件類別可以完全自動(dòng)處理，并在不需要SOC關(guān)注的情況下得到端正的解決。對于其他事件，有些部分可能是自動(dòng)化的(例如，初始分流、批量修復(fù))，而其他需要專業(yè)知識(shí)的部分仍然是手動(dòng)的(例如，調(diào)查)。自動(dòng)化應(yīng)該利用事件圖來確定在哪里以及如何協(xié)助分析員，節(jié)省重復(fù)的手工工作，并使SOC能夠?qū)Ｗ⒂诟鼜?fù)雜和高風(fēng)險(xiǎn)的事件。

3. 帶著團(tuán)隊(duì)一起行動(dòng)

花時(shí)間解釋與相關(guān)事件合作的好處，以及這種方法如何改變防御者的游戲。探索MITRE ATT&CK框架，并使用它來構(gòu)建你的SOC游戲手冊的事件指導(dǎo)，使其具有擴(kuò)展性和耐久性。當(dāng)一個(gè)新的警報(bào)檢測到滲透，并且它被映射到適當(dāng)?shù)膽?zhàn)術(shù)或技術(shù)，現(xiàn)有的指導(dǎo)適用，不需要特殊的警報(bào)上機(jī)或新的指導(dǎo)。

記錄對先前案例采取的行動(dòng)--集成到你的安全工具中--并使用這些數(shù)據(jù)來幫助分析人員了解如何更好地處理新的事件，并隨著時(shí)間的推移調(diào)整流程。將這些經(jīng)驗(yàn)擴(kuò)展到整個(gè)行業(yè)的合作中，可以為組織和整個(gè)安全社區(qū)帶來巨大的好處。

4. 先試后買

尋找一種安全產(chǎn)品，使您的組織能夠轉(zhuǎn)向事件并支持這種SOC流程的演變。它應(yīng)該實(shí)現(xiàn)將警報(bào)自動(dòng)關(guān)聯(lián)到事件、優(yōu)先級(jí)、事件分類，以及在事件和警報(bào)層面將您的SOC游戲手冊映射到MITRE ATT&CK戰(zhàn)術(shù)和技術(shù)的能力。

不要忘記定制，每個(gè)組織都有自己的偏好和特殊流程。尋找能夠根據(jù)組織內(nèi)部和整個(gè)行業(yè)的事件歷史整合行動(dòng)建議的產(chǎn)品。