现代安全运营十大措施

Q：既然SOC首先是一个团队，那么传统SOC与现代SOC的区别在于哪些功能?

A：区别的功能包括：威胁狩猎、威胁情报、数据分析以及一些别的功能。这些在传统的SOC中都不太常见。

Q：能否实现基于AI/AL的完全自动化，实现“观察—调整—决策—行动”的OODA循环?使SOC可以实现完全自动化的上机日志源、威胁检测规则的创建、PlayBook的创建、响应、自动集成和执行。

A：以目前的现状来看，短时间内，大多数SOC无法实现完全自动化。最麻烦的部分是在自动响应和其他行为的行为链末端。此外，还有一些有高度不确定性的状况仍然需要人工手动处理。最后，一些棘手的遥测源的上线，有时也需要人工迭代和调整配置。

如今，自动化在检测自动化在检测(创建警报)和分流(充实和确认警报)等领域已经变得十分普遍，但在补救和数据上机方面却不尽如人意。我不指望这方面在短时间内会有什么大规模的变化，但随着企业采用更多的公共云，这些领域的自动化自然也会随之增长。

Q：SIEM和SOC之间的区别是什么?

A：SIEM是一种特殊的安全工具，而SOC则是一个团队以及他们使用的相关流程和工具(目前大部分SOC中包含了SIEM)。这就是为什么当我听到 SOC-as-a-service(安全运营即服务)时，总是感到有点奇怪。我个人更喜欢MDR这个词。

Q：如果我们不能把顶级攻击者赶出我们的网络，那公司该如何应对这种风险?

A：在这里，我很难给出规范性的建议，因为这是一个艰巨的挑战，并且属于“随机应变”的领域。遇到这种情况，大多数组织会寻求帮助，来邀请第三方事件响应团队来协助他们调查，最终将攻击者赶出去。

虽然听上去有些悲观，但是我们完全有可能会遇到比自己的团队更强的攻击者(即便你的团队已经很优秀)。在这种情况下，企业不得不寻求帮助。尽管这会产生成本，但却是无法避免的。

Q：你认为需要采取基于风险的方法来设计和管理现代SOC吗?

A：在你的问题里，"基于风险 "的意思较为模糊。目前，大多数正在运行的SOC并不是完全基于合规条例中的固定检查表而建立的。在这种情况下，我遇到的大多数SOC至少在某种程度上是基于风险的。

Q：怎样才能成为一个优秀的SOC?

A：这很难用几句话来概括。不过，我认为一个糟糕的SOC是因为过度关注技术以及过度苛求流程，而一个优秀的SOC则是把运营的人放在首位，然后才是流程以及技术。

Q：你对SOC中使用的AI工具有什么看法?

A：从我还是一个分析师的时候我就开始思考这个问题，到现在已经持续了很多年。随着时间的推移，我也有了自己的立场：唯一的办法是在短期内对AI用于安全领域持怀疑态度，但站在长远角度则持乐观态度。

虽然有很多供应商疯狂地夸大其词，称他们的ML/AI工具如何帮助安全分析师顺利解决问题。然而，正如人工智能在其他领域逐步发展去帮助人类一样，网络安全领域中的AI也需要发展。

今天，你在SOC中最有可能遇到的基于机器学习的工具是某种形式的异常检测，如UEBA工具或NDR。虽然这些工具是有效的，它们产生的警报往往是有用的(就像常规的基于规则的警报)。然而，我非常清楚，今天的SOC中还没有 "cyber AI "的魔力。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!