您可能对SOC知之甚少,但是从直觉上仍然很清楚,在其工作中只有两件事最重要:识别事件并做出响应。同时,如果您在处理复杂的内部欺诈行为或专业团体活动的迹象时不采取措施,则应对措施通常包括许多非常简单的技术措施(病毒库或软件的删除,访问或帐户的封锁)和组织措施(澄清来自用户的信息或验证和丰富分析结果,导致无法访问监视源)。但是,由于多种原因,近年来客户响应过程已开始发生重大变化,这需要SOC进行更改。此外,由于我们谈论的是回应,因此“不仅所有内容”都很重要-而且准确性,完整性和行动速度-如果您的内部或外部SOC不考虑此过程的新要求,则很有可能无法正常处理该事件。
现在,我们有许多客户更愿意接受作为``全周期''服务的响应-在这种情况下,我们阻止了对公司防御的攻击,并在IT服务职责方面陪同响应流程。例如,我们可以为阻止的辩护提供帮助,从理论上讲,这可能会导致业务流程出现问题,或者我们建议需要部分完成的工作-帐户阻止,主机隔离等。
但是大多数人仍然更愿意自己进行技术响应,并且他们要求我们及时发现事件,分析和过滤误报,以及提供分析信息以及针对事件的优先行动的建议。
谁曾参与此过程,并由客户负责结果?通常,一两个信息安全专家将响应工作与部门的其他任务结合在一起,并且在攻击分析方面并不总是具有很强的专业知识(正如您从上一段中可以看到的那样,这不是必需的)。但是,信息安全专家一直以来都是了解风险,威胁和正在发生的情况的信息。
最近,在信息安全和IT服务之间越来越多地将对客户方面响应的完整性和及时性的责任进行分配,这就是为什么。
首先,事件的数量和事件的可疑程度已大大增加。如果以前的平均通知数是每月一百或200,现在已经增加了数倍。问题的一部分是由于不断(而非总是固定)的变化而导致的企业基础结构中熵的增长,这种变化是由通常被称为时髦术语“数字化”或“数字转换”引起的。副作用是用户操作变得更加多样化,并且技术解决方案更有可能将其归类为行为异常,从而又可能被安全人员误认为是攻击者。假设这些是第一种类型的误报。
其次,网络罪犯的活动当然也在不断增长(换句话说,攻击数量正在增长),这是我们,其他行业参与者以及客户本身所注意到的。结果,SOC必须不断发明越来越聪明的攻击检测方案,并确保将其连接到客户。当然,这还会导致操作数量增加,对客户行为的不确定性增加以及对有关事件的信息包含外部环境的需求(它是谁的工作站,在公司中习惯使用远程访问工具,如果是这样,使用哪个远程访问工具?它们可以用于什么,等等。
实际上,这导致了这样一个事实,即为了加快响应过程,越来越多的公司正在尝试将外部SOC转移到直接交互上,而不是与信息安全性进行交互,而是与IT部门进行直接交互。这是很合乎逻辑的:需要软件删除或帐户锁定的事件直接发送到IT,需要将主机的网络隔离-到网络部门+服务台等。如果公司拥有自己的监控中心,则通常必须将触发器从SIEM系统转移到IT。
但是,流程中的任何更改都可能会降低流程速度,向各方提供不完整信息的风险,最终会降低效率。幸运的是,大多数公司都了解这一点,因此(有时是由于法律要求,尤其是在创建GosSOPKA中心时),对于检查实际响应级别(IT部门和信息安全部门的建议的完整性,质量和时机)的需求日益增长公司。
但是,在进行审核之前,有必要为人们提供实现结果的工具,换句话说,SOC必须调整每个事件的分析结果,以便在IT中进行清晰的路由。通过反复试验,我们已编制了一份发送给客户的事故信息要求清单。
在事件分析的这些结果中,应明确确定负责技术响应的员工
的陷阱:为了正确识别此类负责人,有必要准确地确定事件的位置-具体部门,主持人的关键程度,其业务从属关系,事件的类型。这要求在清单阶段将客户的基础设施深深地浸入其中(并且非常重要的是,不断更新此数据)。
需要相同的信息来确定事件的严重性。例如,在当地信息安全专家的帮助下,银行准备对马加丹分行的汽车病毒感染的反应要慢得多。如果我们正在谈论KBR的本地AWP,则该事件需要立即做出响应并介入,包括客户的CISO来协调风险,以及现场通信中心的专家来立即隔离主机。
通常,应对电子商务领域中的Web应用程序的攻击不仅需要安全人员的参与,还需要应用程序专家的参与,他们可以更准确地确定与实施该应用程序相关的风险,并从同一主机上的数据库中卸载有关订单的信息,相反,在任何情况下都不应该让申请人(他们是潜在的攻击者之一)甚至IT专家都参与其中,但是除了信息安全性之外,它通常还需要经济安全部门的参与。
所有这些场景-我们在什么时候,什么阶段,出于什么目的参与其中-必须事先制定并与客户达成协议。 SOC对信息安全了解得更多,但是客户对他的业务了解得更多,对他来说最重要的风险是什么,因此脚本是一起开发的。
这也适用于威胁及其风险的描述,以及响应建议描述中的详细程度。此外,理想情况下,所需动作的顺序应分为强制事件和辅助事件的树。例如,如果SOC在终端主机上记录了Remote Admin Tool的启动,但是审核级别不足以区分用户活动与攻击者可能后门的启动,那么第一个也是必不可少的一点就是专家与用户的沟通,以了解他是否发起了此活动。如果答案是肯定的,则这是常规活动,或最大程度地违反了信息安全策略。如果否定,则可能是黑客攻击的一部分,并且需要完全不同的响应工作。
检查响应结果应该包含对建议的执行情况(使用SIEM或其他工具中的日志)以及将来不会再次发生的事实进行技术控制的可能性。
让我们继续在主机上运行RAT的示例。例如,我们转到了第一个分支-违反信息安全策略的用户活动。在这种情况下,将建议IT服务删除主机上的RAT。除了受控启动删除脚本或检查主机上是否存在该实用程序外,清单工具还必须在重新触发旧事件时链接到该旧事件。这不仅表示一再违反,而且表示响应可能对建议的实施质量较差。
最后,事件的背景或三角洲邻域很重要。非常重要的是,在最后一个时间间隔内,此机器/帐户到底发生了什么,无论是否可以在终止链中收集到任何类似或潜在相关的事件。此信息使您可以快速确定是否需要立即使提供者的安全或事件响应团队参与事件。
每个SOC都在寻找自己应对这些挑战的方法,并可以使用不同的工具来执行这些任务,主要是控制其原则上的执行。因为在较小的事件上,响应的延迟和犹豫是无法察觉的,而在严重的事件上,不受监管的过程根本就行不通。好像不会有罪。