想要成功應(yīng)對(duì)未來(lái)大規(guī)模檢測(cè)與響應(yīng)的需求，現(xiàn)代安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)需要掌握五種必備技能，比如基本編程技能和威脅捕捉技能。

安全情況瞬息萬(wàn)變，確保團(tuán)隊(duì)擁有保護(hù)公司基礎(chǔ)設(shè)施和敏感數(shù)據(jù)所需的技能變得前所未有的重要。但總的來(lái)說(shuō)，企業(yè)往往低估了網(wǎng)絡(luò)安全的重要性。安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)通常人手不足，過(guò)度勞累，而且不受重視。而隨著威脅形勢(shì)的不斷發(fā)展，需要掌握新技能才能領(lǐng)先于網(wǎng)絡(luò)對(duì)手。

現(xiàn)代SOC團(tuán)隊(duì)想要在未來(lái)大規(guī)模檢測(cè)和響應(yīng)中取得成功，需要掌握以下五項(xiàng)重要技能。

1. 基本編程技能

“萬(wàn)物即代碼”，這種將應(yīng)用視為代碼的想法擴(kuò)展到操作系統(tǒng)、網(wǎng)絡(luò)配置和管道的操作，已經(jīng)極大改變了安全團(tuán)隊(duì)運(yùn)營(yíng)的方式和他們所需的技能。過(guò)去在SOC工作不需要編程技能，但如今SOC的工作中，編程技能必不可少。

“檢測(cè)即代碼”，這種使用軟件工程原理編寫(xiě)檢測(cè)的現(xiàn)代化系統(tǒng)性方法，意味著團(tuán)隊(duì)需要能夠創(chuàng)建自定義規(guī)則，可以在版本控制中正確測(cè)試、版本更新和以編程方式管理的那種。全功能編程語(yǔ)言具備靈活性和穩(wěn)健性，采用這種編程語(yǔ)言，團(tuán)隊(duì)不僅能夠檢測(cè)簡(jiǎn)單或復(fù)雜行為，還能執(zhí)行上下文獲取、豐富和全面呈現(xiàn)等其他操作。

安全團(tuán)隊(duì)?wèi)?yīng)該通過(guò)解決面臨的現(xiàn)實(shí)問(wèn)題(比如分析大量原始數(shù)據(jù))來(lái)學(xué)習(xí)軟件開(kāi)發(fā)基礎(chǔ)。應(yīng)該首先編寫(xiě)出能用的代碼，再回頭學(xué)習(xí)最佳實(shí)踐、單元測(cè)試和其他有助于良好代碼可持續(xù)性的技術(shù)。安全團(tuán)隊(duì)還可以向企業(yè)內(nèi)各軟件團(tuán)隊(duì)的成員學(xué)習(xí)，方便進(jìn)行交叉培訓(xùn)。可以從解釋性語(yǔ)言開(kāi)始，例如Python或Ruby，這類(lèi)編程語(yǔ)言不僅語(yǔ)法簡(jiǎn)單，還做了性能權(quán)衡。

2. 云技術(shù)

可以說(shuō)，幾乎所有現(xiàn)代技術(shù)公司都仰仗AWS或谷歌云等云服務(wù)。云服務(wù)繼續(xù)攀登基礎(chǔ)設(shè)施棧，持續(xù)簡(jiǎn)化復(fù)雜的概念。在這個(gè)轉(zhuǎn)變過(guò)程中，安全團(tuán)隊(duì)需要繼續(xù)收集相關(guān)數(shù)據(jù)集，做到隨時(shí)了解最新情況，并逐步培育嚴(yán)格的控制，防止意外數(shù)據(jù)暴露或系統(tǒng)暴露。

安全從業(yè)者可以從基礎(chǔ)服務(wù)學(xué)起，例如云存儲(chǔ)、云計(jì)算、身份與訪問(wèn)管理等等。與編程學(xué)習(xí)一樣，可以通過(guò)解決現(xiàn)實(shí)問(wèn)題入手，比如安全數(shù)據(jù)的存儲(chǔ)、處理和保留，或者通過(guò)強(qiáng)化公司現(xiàn)有基礎(chǔ)設(shè)施來(lái)切實(shí)掌握云技術(shù)。此外，還有很多參考架構(gòu)也可以作為非常有益的學(xué)習(xí)模型。

3. 安全日志管道

各個(gè)團(tuán)隊(duì)都在用軟件即服務(wù)，而不是防火墻后面的內(nèi)部解決方案，也就是說(shuō)，安全數(shù)據(jù)遍布于多個(gè)服務(wù)上，集中控制相對(duì)要少很多。Google Workspaces、Auth0、Okta、Duo、Jamf等工具的興起，催生了集中這些數(shù)據(jù)的需求。而問(wèn)題在于，這些日志格式不同，所用API各異，用來(lái)驗(yàn)證和收集數(shù)據(jù)的方法也不一樣。

安全團(tuán)隊(duì)必須盡可能多地收集數(shù)據(jù)，好了解當(dāng)前情況，做好防御。他們必須采用rsyslog、vector、fluentd或logstash等工具建立內(nèi)部日志管道。安全團(tuán)隊(duì)?wèi)?yīng)該熟悉這些工具的配置和擴(kuò)展方法，還應(yīng)該了解怎樣把這些工具插入到云存儲(chǔ)和SIEM等其他系統(tǒng)中。

4. 攻擊者技術(shù)、戰(zhàn)術(shù)和程序(TTP)

深入了解最新攻擊者技術(shù)、戰(zhàn)術(shù)和程序(TTP)有助于安全團(tuán)隊(duì)制定一系列堅(jiān)實(shí)的檢測(cè)措施，管控好自身環(huán)境中的多條攻擊途徑。緊跟近期數(shù)據(jù)泄露事件可幫助團(tuán)隊(duì)了解現(xiàn)代威脅模型和技術(shù)，避免自家公司陷入同樣的危險(xiǎn)之中。勒索軟件攻擊的興起就是個(gè)很好的樣例。檢測(cè)應(yīng)該足夠高保真，不會(huì)產(chǎn)生太多警報(bào)，而通過(guò)使用編程語(yǔ)言，團(tuán)隊(duì)可以測(cè)試和表達(dá)更復(fù)雜的攻擊。

5. 威脅捕捉

網(wǎng)絡(luò)對(duì)手越來(lái)越復(fù)雜高端，安全團(tuán)隊(duì)必須采取更加主動(dòng)的方式來(lái)發(fā)現(xiàn)自身云基礎(chǔ)設(shè)施中此前未知的威脅或未緩解的持續(xù)威脅。由于復(fù)雜的高級(jí)持續(xù)性威脅可以潛伏數(shù)周甚至數(shù)月之久，現(xiàn)代SOC團(tuán)隊(duì)必須經(jīng)過(guò)培訓(xùn)，補(bǔ)充自動(dòng)化系統(tǒng)的不足，并通過(guò)查找可疑活動(dòng)模式來(lái)搜尋隱藏的惡意軟件或攻擊者。

安全團(tuán)隊(duì)通常規(guī)模不大，人手不足，而且往往不精通DevOps或軟件工程。然而，大規(guī)模監(jiān)測(cè)需要這些技能。此外，安全從業(yè)人員需要了解如何使用系統(tǒng)檢測(cè)來(lái)獲取他們需要的數(shù)據(jù)，并構(gòu)建可靠、容錯(cuò)且具有彈性的數(shù)據(jù)處理管道來(lái)處理這些數(shù)據(jù)。

從學(xué)習(xí)編程基礎(chǔ)到了解云基礎(chǔ)設(shè)施，安全從業(yè)人員應(yīng)當(dāng)升級(jí)自己的技能集了。各種系統(tǒng)面對(duì)的攻擊者確實(shí)是可怕的，但現(xiàn)代工具和經(jīng)驗(yàn)豐富的安全人員可以應(yīng)對(duì)安全防護(hù)方面的挑戰(zhàn)。