當(dāng)前，企業(yè)安全運(yùn)營(yíng)中心(SOC)的運(yùn)營(yíng)人員往往會(huì)被淹沒在大量數(shù)據(jù)和警報(bào)中，因此很難及時(shí)洞察一些真正有威脅的安全漏洞。在此背景下，一些安全廠商開始全力投入研發(fā)一種“自主SOC”。相比傳統(tǒng)SOC方案，自主式SOC應(yīng)用僅需較少的安全人員即可高效運(yùn)行，從而降低企業(yè)安全團(tuán)隊(duì)的運(yùn)營(yíng)難度。

自主SOC的目標(biāo)定位

當(dāng)企業(yè)開啟安全運(yùn)營(yíng)自動(dòng)化之旅時(shí)，首先應(yīng)該明確要自動(dòng)化技術(shù)實(shí)現(xiàn)的安全運(yùn)營(yíng)目標(biāo)，然后根據(jù)目標(biāo)來制定自動(dòng)化運(yùn)營(yíng)的關(guān)鍵流程。

自主SOC的一個(gè)核心目標(biāo)是將各種安全警報(bào)進(jìn)行聚合分類，并在警報(bào)處理的各個(gè)環(huán)節(jié)中實(shí)現(xiàn)自動(dòng)化，減少人工干預(yù)。

自主SOC的目標(biāo)不是用AI技術(shù)取代現(xiàn)有的安全團(tuán)隊(duì)和人員，而是通過整合人員、流程和技術(shù)來更好地保護(hù)組織。專業(yè)的人才是安全運(yùn)營(yíng)工作不可或缺的因素。自主SOC可以使安全專業(yè)人員花費(fèi)更少的時(shí)間來執(zhí)行冗余任務(wù)，將更多的時(shí)間集中在更高價(jià)值的戰(zhàn)略計(jì)劃上。

自主SOC應(yīng)該為現(xiàn)有的安全團(tuán)隊(duì)提供更多服務(wù)和支持，并使用適合組織流程的技術(shù)，使人員的工作更輕松，并提升其能力。

通過自主SOC，組織可以整合所有的數(shù)據(jù)源，以提供統(tǒng)一、自動(dòng)化的分類體驗(yàn)，改進(jìn)調(diào)查、支持分析師并縮短響應(yīng)時(shí)間。因此，自主SOC需要具備一些更先進(jìn)的技術(shù)能力，主要包括：

1. SOAR產(chǎn)品：這是一個(gè)成熟的產(chǎn)品類別，許多SOC團(tuán)隊(duì)都使用了安全編排自動(dòng)化和響應(yīng)(SOAR)工具自動(dòng)處理任務(wù)。但這此過程中頗有挑戰(zhàn)性，因?yàn)镾OAR通常技術(shù)含量高或需要構(gòu)建復(fù)雜的劇本。一些創(chuàng)新的SOAR產(chǎn)品集成了AI工具，或者提供預(yù)構(gòu)建的劇本和無代碼工具，以簡(jiǎn)化某些流程的自動(dòng)化。

2. 自主SOC工具：這是一個(gè)較新的產(chǎn)品類別，使用原生自動(dòng)化工作流和AI來攝取、調(diào)查和分類警報(bào)。這個(gè)領(lǐng)域的最新初創(chuàng)公司成立于2023年或2024年，使用基于生成式AI的技術(shù)。更成熟的自主SOC產(chǎn)品已集成了生成式AI，用來補(bǔ)充遺傳分析或機(jī)器學(xué)習(xí)等核心技術(shù)。

3. AI助手產(chǎn)品：這是最新的類別，出現(xiàn)于2023年。新的助手工具可以使用生成式AI來協(xié)助分析師，這樣他們可以在調(diào)查期間輕松查詢系統(tǒng)以獲得答案。這類工具可能會(huì)與其他工具集成，加快事件響應(yīng)或自主采取行動(dòng)，但目前尚不清楚這些AI助手會(huì)變得多么有效或流行。

自主SOC的關(guān)鍵流程

自主SOC并意味著將安全運(yùn)營(yíng)的每個(gè)流程都完全自動(dòng)化，至少在短期內(nèi)想做到這一點(diǎn)并不現(xiàn)實(shí)。自主SOC的關(guān)鍵是將一些大量重復(fù)且費(fèi)力的工作自動(dòng)化，這些工作往往會(huì)占用安全分析師的大量工作時(shí)間。

1. 持續(xù)監(jiān)控

自主SOC需要7*24小時(shí)全天候持續(xù)監(jiān)控和收集來自各種安全工具的警報(bào)信息，確保沒有潛在的威脅被忽視。

2. 收集證據(jù)

在收到警報(bào)信息后，自主SOC還需要收集與該警報(bào)相關(guān)的相關(guān)日志數(shù)據(jù)，包括文件、進(jìn)程、命令行、來自進(jìn)程參數(shù)的證據(jù)、URL、IP、父進(jìn)程/子進(jìn)程以及內(nèi)存映像等等。

3. 告警調(diào)查

自主SOC應(yīng)該使用AI和各種先進(jìn)技術(shù)分析收集到的每一條證據(jù)。這包括沙箱、遺傳密碼分析、靜態(tài)分析、開源智能(OSINT)、內(nèi)存分析和逆向工程。然后使用生成式AI模型，概述這些單獨(dú)分析的結(jié)果，為事件評(píng)估做好準(zhǔn)備。

4. 警報(bào)分類

自主SOC可對(duì)與每個(gè)警報(bào)相關(guān)的風(fēng)險(xiǎn)進(jìn)行分類，并根據(jù)調(diào)查結(jié)果決定如何上報(bào)。此外，自主SOC還應(yīng)該通過自動(dòng)修復(fù)檢測(cè)系統(tǒng)中的誤報(bào)來減少干擾信息，降低誤報(bào)對(duì)運(yùn)營(yíng)團(tuán)隊(duì)的影響。

5. 事件響應(yīng)

針對(duì)所有已確認(rèn)的重要威脅，自主SOC需要提供評(píng)估分析和處置建議，并在案例管理系統(tǒng)中創(chuàng)建工單。這包括檢測(cè)內(nèi)容和隨時(shí)可用的搜索規(guī)則，用于指導(dǎo)響應(yīng)過程。

6. 分析報(bào)告

自主SOC需要生成報(bào)告，讓運(yùn)營(yíng)團(tuán)隊(duì)了解情況威脅處置情況，并提供后續(xù)的優(yōu)化建議，以便持續(xù)改進(jìn)組織的安全防護(hù)策略。

通過上述步驟，自主SOC能夠?qū)Ａ康木瘓?bào)進(jìn)行高效篩選，并逐級(jí)上報(bào)那些真正需要安全專家人工分析的警報(bào)。這有助于提升安全運(yùn)營(yíng)工作效率，并大大減少花在誤報(bào)上的時(shí)間。

自主SOC應(yīng)用實(shí)例

走向自主SOC的旅程將是漫長(zhǎng)而充滿挑戰(zhàn)的，但是，企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)現(xiàn)在可以從一些基礎(chǔ)的場(chǎng)景入手，為將來廣泛應(yīng)用打下基礎(chǔ)。以下是自主SOC應(yīng)用的幾個(gè)例子，展示了不同類型的安全團(tuán)隊(duì)或組織如何應(yīng)用自主SOC戰(zhàn)略。

實(shí)例一、與SOAR的自動(dòng)化聯(lián)動(dòng)

在此場(chǎng)景下，安全團(tuán)隊(duì)仍需要處理許多手工任務(wù)，并有大量的誤報(bào)。為了縮短平均響應(yīng)時(shí)間，這類企業(yè)無法通過構(gòu)建和維護(hù)更復(fù)雜的事件響應(yīng)劇本來實(shí)現(xiàn)更多流程的自動(dòng)化。他們決定使用一種可以與檢測(cè)工具集成的自主SOC平臺(tái)。

在上圖中可以看到自主SOC產(chǎn)品實(shí)現(xiàn)自動(dòng)化的流程，這將是該團(tuán)隊(duì)運(yùn)營(yíng)能力提升的關(guān)鍵部分。在實(shí)際應(yīng)用中，組織首先將其與端點(diǎn)安全產(chǎn)品集成，以監(jiān)控和分類這些警報(bào)。當(dāng)用于端點(diǎn)警報(bào)的自主SOC系統(tǒng)取得成效時(shí)，接下來可使用SOAR用于上報(bào)警報(bào)和案例管理。有了這個(gè)系統(tǒng)，端點(diǎn)警報(bào)的分類時(shí)間平均不到2分鐘。一旦分析師對(duì)有效實(shí)施的自主SOC流程感到滿意，團(tuán)隊(duì)就會(huì)集成自主SOC產(chǎn)品，以便攝取和分類用戶報(bào)告的網(wǎng)絡(luò)釣魚郵件和SIEM警報(bào)。

實(shí)例二、為MDR服務(wù)商賦能

該MDR團(tuán)隊(duì)將采用基于AI的戰(zhàn)略視為改進(jìn)客戶服務(wù)和增加收入的一個(gè)競(jìng)爭(zhēng)優(yōu)勢(shì)。他們需要監(jiān)控和分類來自許多客戶的警報(bào)，這些客戶使用許多不同的工具進(jìn)行檢測(cè)和響應(yīng)。

通過實(shí)施自主SOC戰(zhàn)略，包括使用可與任何客戶工具集成的自主SOC產(chǎn)品，將使他們能夠有效地監(jiān)控、調(diào)查和分類來自多個(gè)客戶環(huán)境的每個(gè)警報(bào)，提供基于AI和自動(dòng)化的快速分類時(shí)間。通過AI和自動(dòng)化提升能力，MSSP團(tuán)隊(duì)可以引入更多的客戶，并處理數(shù)量更多的警報(bào)，無需招聘和雇用另外的分析師。在實(shí)施自主SOC產(chǎn)品后，他們還能夠豐富客戶產(chǎn)品，并提供新的服務(wù)，比如能夠處理用戶報(bào)告的網(wǎng)絡(luò)釣魚郵件。

實(shí)例三、獨(dú)立的自主SOC應(yīng)用

最后設(shè)想一個(gè)SOC團(tuán)隊(duì)已制定了自主SOC戰(zhàn)略。自主SOC產(chǎn)品可以調(diào)查和分類來自所有集成檢測(cè)系統(tǒng)的警報(bào)，并將SOAR用于逐級(jí)上報(bào)和案例管理。在這些工具完全實(shí)施之后，團(tuán)隊(duì)還可以添加AI檢測(cè)助手，幫助安全團(tuán)隊(duì)查詢更多信息，不過目前因?yàn)锳I助手之類的工具非常新穎，還很少有團(tuán)隊(duì)有效地使用。

參考鏈接：https://thehackernews.com/2024/05/how-to-build-your-autonomous-soc.html。