在數(shù)字化浪潮席卷全球的今天,隨著攻擊手段日益復(fù)雜化、攻擊面不斷擴(kuò)大,傳統(tǒng)的被動(dòng)防御模式已難以應(yīng)對層出不窮的安全威脅。企業(yè)亟需一場安全運(yùn)營的革命性升級:從被動(dòng)響應(yīng)到主動(dòng)預(yù)測,從人工分析到智能決策,從孤立防御到協(xié)同作戰(zhàn)。數(shù)智化安全運(yùn)營中心(ISOC)應(yīng)運(yùn)而生,它不僅是技術(shù)的升級,更是理念的革新。通過融合大數(shù)據(jù)、人工智能、自動(dòng)化編排等前沿技術(shù),ISOC正在重塑網(wǎng)絡(luò)安全的未來。本文將揭示網(wǎng)絡(luò)安全運(yùn)營數(shù)智化升級從初始級到自主級的蛻變路徑,分享行業(yè)領(lǐng)先企業(yè)的實(shí)踐案例。
能力成熟度模型
ISOC的五級成熟度模型為組織提供了評估組織安全運(yùn)營能力、明確未來方向發(fā)展的框架。該成熟度模型清晰地展現(xiàn)智能化安全運(yùn)營的演進(jìn)路徑和每個(gè)階段的核心特征。組織可以根據(jù)自身的實(shí)際情況,參考該模型,制定切實(shí)可行的ISOC建設(shè)方案,逐步提升自身的安全運(yùn)營能力。具體特征如下:
ISOC建設(shè)原則
ISOC的建設(shè)是一個(gè)持續(xù)優(yōu)化的過程,需要根據(jù)組織的實(shí)際情況和安全需求的變化,不斷調(diào)整和完善。針對各個(gè)成熟度級提供的ISOC建設(shè)方案。組織應(yīng)結(jié)合自身的實(shí)際情況,參考方案并制定切實(shí)可行的ISOC建設(shè)路線圖,逐步提升自身的安全運(yùn)營能力。ISOC的建設(shè)應(yīng)遵循以下關(guān)鍵原則,以確保項(xiàng)目成功落地,發(fā)揮預(yù)期價(jià)值,構(gòu)建主動(dòng)、智能、自適應(yīng)的安全防御體系。
建設(shè)原則包括:
1.戰(zhàn)略導(dǎo)向、風(fēng)險(xiǎn)導(dǎo)向
ISOC建設(shè)必須與組織的整體戰(zhàn)略、業(yè)務(wù)目標(biāo)緊密對齊,并以業(yè)務(wù)安全需求為核心驅(qū)動(dòng)力。同時(shí),建設(shè)應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向,通過全面的風(fēng)險(xiǎn)評估確定建設(shè)重點(diǎn)和防御策略,確保安全投入聚焦于核心風(fēng)險(xiǎn)。
2.整體規(guī)劃,分步實(shí)施
ISOC建設(shè)需要進(jìn)行全面的頂層設(shè)計(jì),包括總體架構(gòu)、技術(shù)路線、建設(shè)目標(biāo)、實(shí)施計(jì)劃等。但實(shí)施過程應(yīng)根據(jù)組織的實(shí)際情況,分階段、有重點(diǎn)地逐步推進(jìn),可以采用“試點(diǎn)先行、逐步推廣”的方式,降低風(fēng)險(xiǎn),積累經(jīng)驗(yàn)。
3.數(shù)據(jù)驅(qū)動(dòng),AI賦能
數(shù)據(jù)是ISOC的基礎(chǔ),AI是核心引擎。必須重視安全數(shù)據(jù)的全面采集、治理和利用,構(gòu)建統(tǒng)一的安全數(shù)據(jù)湖。充分利用人工智能技術(shù)提升安全運(yùn)營的智能化水平。
4.人機(jī)協(xié)同,持續(xù)運(yùn)營
充分發(fā)揮AI的優(yōu)勢和人類的智慧,構(gòu)建高效的人機(jī)協(xié)同安全運(yùn)營模式。明確AI與分析師的角色分工,建立持續(xù)運(yùn)營和優(yōu)化機(jī)制。ISOC不是一次性項(xiàng)目,而是一個(gè)需要持續(xù)投入和改進(jìn)的長期過程。
5.安全合規(guī),保障可靠
SOC建設(shè)必須符合國家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求(如等級保護(hù)、數(shù)據(jù)安全法等)。采取必要的技術(shù)和管理措施保護(hù)數(shù)據(jù)安全和隱私。對AI模型進(jìn)行充分的測試和驗(yàn)證,確保安全、可靠、可信,并建立完善的審計(jì)機(jī)制。
6.循序漸進(jìn),注重實(shí)效
ISOC建設(shè)應(yīng)從解決最緊迫的安全問題入手,選擇能夠快速產(chǎn)生價(jià)值的場景進(jìn)行試點(diǎn),逐步擴(kuò)大應(yīng)用范圍。注重實(shí)際效果,選擇適合自身需求的技術(shù)和平臺,避免盲目追求“高大上”,并定期對ISOC的建設(shè)和運(yùn)營效果進(jìn)行評估和優(yōu)化。
一、初始級升級到管理級
1.主要目標(biāo)
建立基本的安全監(jiān)控和響應(yīng)能力,初步實(shí)現(xiàn)安全事件的集中管理和分析,提升對常見安全威脅的檢測和響應(yīng)效率,滿足基本的合規(guī)性要求。
2.建設(shè)內(nèi)容
1)組建基礎(chǔ)安全團(tuán)隊(duì)或引入服務(wù):
配備1-2名專職或兼職安全人員,明確其日常安全監(jiān)控、事件分析和響應(yīng)職責(zé)。進(jìn)行基礎(chǔ)網(wǎng)絡(luò)安全知識和技能培訓(xùn)。對于資源有限的中小型企業(yè),可以考慮引入MSSP提供安全服務(wù)支持。
2)部署SIEM平臺并集中日志:
- 選型:根據(jù)預(yù)算和需求選擇合適的SIEM平臺(開源或商業(yè))。重點(diǎn)考察日志收集能力(覆蓋防火墻、服務(wù)器、核心應(yīng)用等)、存儲(chǔ)、基礎(chǔ)分析和報(bào)表功能;
- 部署:推薦采用集中式部署;
- 實(shí)施:配置數(shù)據(jù)源,確保關(guān)鍵日志(防火墻、IDS/IPS、服務(wù)器、核心業(yè)務(wù)系統(tǒng)日志、殺毒日志等)能夠被有效采集、解析和存儲(chǔ)。從SIEM平臺自帶的規(guī)則庫開始,配置針對常見威脅(如暴力破解、端口掃描、已知惡意軟件)的檢測規(guī)則,并根據(jù)實(shí)際情況逐步調(diào)優(yōu),降低誤報(bào)。配置基礎(chǔ)的安全報(bào)表,用于日常監(jiān)控和匯報(bào)。
3) 建立基本安全運(yùn)營流程:
- 制定清晰、簡單的安全事件分類分級標(biāo)準(zhǔn)(例如按類型、影響、緊急程度分級);
- 建立基礎(chǔ)的事件響應(yīng)流程(SOP),明確事件上報(bào)、初步分析、處置(如隔離、封禁)、記錄和報(bào)告的步驟。
3.考核指標(biāo)
- 安全團(tuán)隊(duì)(或負(fù)責(zé)人)到位,完成初步培訓(xùn);
- SIEM平臺穩(wěn)定運(yùn)行,關(guān)鍵日志接入率達(dá)到預(yù)期;
- 事件響應(yīng)流程已建立并通過演練;
- 常見威脅的檢測率和響應(yīng)效率相比之前有明顯提升。
三、實(shí)踐案例
某公司建設(shè)案例
案例概況
某制造公司一直以來面臨著“安全無專人”的困境,網(wǎng)絡(luò)安全管理較為薄弱,缺乏專業(yè)的安全團(tuán)隊(duì)和明確的安全職責(zé)劃分。隨著業(yè)務(wù)的發(fā)展和數(shù)字化轉(zhuǎn)型的推進(jìn),該公司意識到網(wǎng)絡(luò)安全的重要性,決定采取一系列措施提升整體安全運(yùn)營能力。該公司希望通過建立專業(yè)的安全團(tuán)隊(duì)、部署先進(jìn)的技術(shù)平臺、采集關(guān)鍵安全數(shù)據(jù)以及規(guī)范安全運(yùn)營流程,全面提升網(wǎng)絡(luò)安全防護(hù)能力,確保核心業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行,同時(shí)有效應(yīng)對各類安全威脅和事件。
安全建設(shè)步驟
該制造公司安全建設(shè)包括建立安全團(tuán)隊(duì)、部署集中式SIEM平臺、采集安全數(shù)據(jù)、建立安全運(yùn)營管理流程四個(gè)主要步驟。
1)建立具有明確職責(zé)的安全團(tuán)隊(duì)
該制造公司為了改變“安全無專人”的現(xiàn)狀,從現(xiàn)有的IT部門中,選拔了一位對網(wǎng)絡(luò)安全有興趣的人,具備一定基礎(chǔ)的員工成為安全負(fù)責(zé)人,負(fù)責(zé)安全工作的整體規(guī)劃、協(xié)調(diào)和監(jiān)督的職責(zé),成為安全建設(shè)的“領(lǐng)頭羊”。安全負(fù)責(zé)人與IT部門溝通了安全方面的職責(zé)。例如,服務(wù)器管理員則需要負(fù)責(zé)服務(wù)器的安全配置、漏洞修復(fù)和補(bǔ)丁管理;網(wǎng)絡(luò)管理員則需要關(guān)注網(wǎng)絡(luò)設(shè)備的安全配置、流量監(jiān)控和預(yù)警檢測。通過這種方式,將安全責(zé)任劃分到各個(gè)崗位,形成“人人有責(zé)”的安全隊(duì)列。同時(shí)引入了外部安全服務(wù),主要提供重要安全事件的事件應(yīng)急響應(yīng)服務(wù),幫助企業(yè)快速處理緊急安全事件。并制定了安全培訓(xùn)計(jì)劃。培訓(xùn)內(nèi)容包括安全基礎(chǔ)知識、常見安全威脅、以及安全事件響應(yīng)流程等。
2)部署SIEM平臺,集中安全日志
該制造公司由于IT環(huán)境相對簡單,選擇了集中式部署SIEM平臺,并在數(shù)據(jù)中心部署了SIEM服務(wù)器。部署后,根據(jù)SIEM產(chǎn)品自帶的規(guī)則庫開始配置基本的安全事件檢測規(guī)則。例如,配置針對暴力破解、端口掃描、惡意軟件、異常登錄等常見威脅的檢測規(guī)則。此外,還配置了常用的安全報(bào)表,如安全事件統(tǒng)計(jì)報(bào)表、流量分析報(bào)表、安全報(bào)表等,以便向領(lǐng)導(dǎo)匯報(bào)安全情況。
3) 采集安全數(shù)據(jù)
SIEM平臺需要采集足夠的安全數(shù)據(jù)。對于該制造公司而言,采集的關(guān)鍵數(shù)據(jù)包括:
- 網(wǎng)絡(luò)邊界數(shù)據(jù):防火墻、IDS/IPS、WAF(Web應(yīng)用防火墻)等設(shè)備的日志和相關(guān)信息,可以幫助發(fā)現(xiàn)來自外部的網(wǎng)絡(luò)攻擊和入侵意圖;
- 核心業(yè)務(wù)系統(tǒng)數(shù)據(jù):ERP、MES、OA等核心業(yè)務(wù)系統(tǒng)的日志,可以幫助發(fā)現(xiàn)針對業(yè)務(wù)系統(tǒng)的攻擊和異常操作;
- 重要服務(wù)器數(shù)據(jù):域控制器、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要服務(wù)器的日志,可以幫助發(fā)現(xiàn)針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊和異常行為;
- 終端安全:在員工使用的終端設(shè)備上安裝殺毒軟件,并集中收集殺毒日志。
4)建立基本安全運(yùn)營流程,規(guī)范事件處理
安全負(fù)責(zé)人牽頭建立了一套基本的安全運(yùn)營流程,以規(guī)范安全事件的處理,確保安全事件得到及時(shí)、有效的響應(yīng)。首先,需要對安全事件進(jìn)行分類分級,根據(jù)安全事件的類型(如惡意軟件感染、網(wǎng)絡(luò)入侵、數(shù)據(jù)泄露、拒絕服務(wù)攻擊、內(nèi)部威脅等)和影響范圍、緊急程度等因素,將安全事件劃分為不同的類別和級別(如高、中、低),并建立一個(gè)明確的安全事件響應(yīng)流程,包括事件上報(bào)、分析、執(zhí)行和報(bào)告等階段。一個(gè)簡單的流程示例如下:安全分析師(或安全負(fù)責(zé)人)通過SIEM平臺或其他途徑獲得安全告警,安全分析師對另外進(jìn)行初步分析,確認(rèn)是否為誤報(bào)。如果確認(rèn)為安全事件,安全分析人員根據(jù)事件類型和級別,執(zhí)行相應(yīng)的響應(yīng)操作,如隔離受感染的主機(jī)、封禁惡意IP地址、通知相關(guān)人員等。事件處理完成后,安全分析師記錄事件處理過程和結(jié)果,并生成報(bào)告。
二、管理級升級到自動(dòng)化級
1.主要目標(biāo)
建立完善的安全運(yùn)營體系,實(shí)現(xiàn)安全事件的規(guī)范化管理和處置,提升安全運(yùn)營的效率和可靠性,并開始應(yīng)用威脅情報(bào)和自動(dòng)化技術(shù),向主動(dòng)防御轉(zhuǎn)變。
2.建設(shè)內(nèi)容
1)SIEM平臺深化應(yīng)用:
- 關(guān)聯(lián)分析:重點(diǎn)提升SIEM的關(guān)聯(lián)分析能力。根據(jù)業(yè)務(wù)場景和威脅情報(bào),編寫更復(fù)雜的關(guān)聯(lián)規(guī)則,將來自不同安全設(shè)備的告警信息進(jìn)行關(guān)聯(lián),發(fā)現(xiàn)多階段攻擊行為;
- 規(guī)則優(yōu)化:持續(xù)優(yōu)化告警規(guī)則,降低誤報(bào)率,提高檢測準(zhǔn)確性;
- 可視化定制:定制安全運(yùn)營儀表盤,展示關(guān)鍵指標(biāo)(KPI)和安全態(tài)勢。
2)威脅情報(bào)平臺(TIP)部署與應(yīng)用:
- 情報(bào)源選擇:根據(jù)行業(yè)特點(diǎn)和威脅態(tài)勢,選擇合適的商業(yè)或開源威脅情報(bào)源;
- TIP部署(可選):如果情報(bào)源較多,可部署TIP平臺進(jìn)行統(tǒng)一管理;
- SIEM集成:將威脅情報(bào)(IOCs,TTPs)與SIEM集成,用于豐富事件上下文,提升檢測準(zhǔn)確性。
3)流程建立:
- 建立威脅情報(bào)的收集、評估、處理、應(yīng)用和共享流程。
4)SOAR平臺部署與應(yīng)用:
- 選型與部署:選擇合適的SOAR平臺,并與SIEM、EDR等關(guān)鍵平臺集成;
- 劇本開發(fā):從常見的、重復(fù)性高的事件響應(yīng)場景(如惡意軟件感染、釣魚郵件、暴力破解)入手,開發(fā)自動(dòng)化響應(yīng)劇本;
- 逐步自動(dòng)化:先實(shí)現(xiàn)部分操作的自動(dòng)化(如告警富化、生成工單、發(fā)送通知),再逐步實(shí)現(xiàn)更復(fù)雜的響應(yīng)動(dòng)作(如隔離、封禁)。
- 關(guān)鍵技術(shù):劇本編排、API集成、自動(dòng)化引擎。
5) 安全運(yùn)營流程完善和優(yōu)化:
- 標(biāo)準(zhǔn)化:細(xì)化事件分類分級標(biāo)準(zhǔn),完善事件響應(yīng)流程,并將流程固化到SOAR平臺中;
- 協(xié)同:建立與IT運(yùn)維、業(yè)務(wù)部門的協(xié)同流程,例如漏洞修復(fù)、配置變更等;
- 評估與優(yōu)化:定期對安全運(yùn)營流程進(jìn)行演練、評估和優(yōu)化;
- 團(tuán)隊(duì)能力提升:培養(yǎng)安全分析師的關(guān)聯(lián)分析、威脅情報(bào)分析、SOAR劇本開發(fā)等能力。
3.考核指標(biāo)
- 安全團(tuán)隊(duì)能夠熟練使用SIEM、TIP和SOAR平臺;
- SIEM誤報(bào)率降低,威脅檢測準(zhǔn)確性提高;
- 威脅情報(bào)得到有效利用;
- 部分高頻、重復(fù)性事件實(shí)現(xiàn)自動(dòng)化響應(yīng),事件響應(yīng)效率提升;
- 安全運(yùn)營流程文檔化并有效執(zhí)行;
- 初步建立安全運(yùn)營考核指標(biāo)體系。
4.實(shí)踐案例
某企業(yè)智能化SOAR平臺建設(shè)案例
案例概況
某高科技企業(yè)隨著業(yè)務(wù)的快速發(fā)展和數(shù)字化轉(zhuǎn)型的推進(jìn),面臨著日益復(fù)雜的網(wǎng)絡(luò)安全威脅。傳統(tǒng)的安全運(yùn)營模式已經(jīng)難以應(yīng)對當(dāng)前的挑戰(zhàn),企業(yè)面臨著日益增多的網(wǎng)絡(luò)安全事件和有限的安全運(yùn)營人員。為了提升事件響應(yīng)效率,減輕安全團(tuán)隊(duì)的工作壓力,該公司決定引入智能化的SOAR(安全編排自動(dòng)化與響應(yīng))平臺,以提升整體的安全防護(hù)能力和運(yùn)營效率。
首先該公司識別了日常安全運(yùn)營中重復(fù)性高、耗時(shí)且易出錯(cuò)的環(huán)節(jié)作為自動(dòng)化的重要應(yīng)用場景,例如惡意IP的封禁、病毒告警的初步處置、釣魚郵件的響應(yīng)等。
在此基礎(chǔ)上選擇并進(jìn)行SOAR平臺的部署,選擇平臺時(shí)重點(diǎn)關(guān)注平臺的集成性,確保其能夠與目標(biāo)場景需要的安全基礎(chǔ)設(shè)施(如防火墻、EDR終端安全系統(tǒng)、入侵檢測系統(tǒng)、SIEM系統(tǒng)等)以及IT運(yùn)維系統(tǒng)進(jìn)行對接,利用安全組件提供的開放接口,將SOAR平臺作為指揮樞紐,協(xié)調(diào)和調(diào)度各類安全工具執(zhí)行自動(dòng)化動(dòng)作.
在完成平臺的基礎(chǔ)部署和集成后,公司針對重要應(yīng)用場景定義和編排安全劇本。基于預(yù)先制定的安全事件處置預(yù)案,利用可視化流程編輯器,將人工分析和處置步驟配置為標(biāo)準(zhǔn)化的自動(dòng)化工作流程。例如,針對檢測到的惡意IP攻擊場景,創(chuàng)建惡意IP的封禁劇本,該劇本能夠自動(dòng)從告警列表中提取惡意IP信息,然后聯(lián)動(dòng)防火墻下發(fā)封堵策略,并記錄整個(gè)處置過程。對于挖礦告警劇本,劇本可以自動(dòng)將相關(guān)信息發(fā)送至EDR系統(tǒng)進(jìn)行風(fēng)險(xiǎn)驗(yàn)證,并根據(jù)EDR的反饋聯(lián)動(dòng)防火墻封禁相關(guān)的域名或IP地址。為了應(yīng)對不同的安全事件類型,持續(xù)開發(fā)了一系列的自動(dòng)化劇本,覆蓋了如Web攻擊、暴力破解、病毒木馬、非法外聯(lián)、漏洞利用等常見威脅。
為了保證自動(dòng)化響應(yīng)的可靠性,在劇本上線前進(jìn)行了充分的測試,并進(jìn)行監(jiān)控和調(diào)優(yōu)。此外,因?yàn)橐庾R到自動(dòng)化并非適用于所有場景,因此SOAR平臺也支持手動(dòng)觸發(fā)和人工干預(yù),對于需要人工判定的復(fù)雜事件或未知事件,SOAR平臺通過下發(fā)工單并提供執(zhí)行概覽,協(xié)助人工判斷與執(zhí)行。通過SOAR平臺的應(yīng)用,該公司顯著提升了安全事件的響應(yīng)速度和準(zhǔn)確性,減輕安全運(yùn)營人員的工作量,最終實(shí)現(xiàn)安全事件響應(yīng)流程的自動(dòng)化閉環(huán)。隨著經(jīng)驗(yàn)的積累,后期準(zhǔn)備基于SOAR平臺開發(fā)更復(fù)雜的自動(dòng)化評估,例如與威脅情報(bào)集成形成自動(dòng)化威脅狩獵劇本、與漏洞管理系統(tǒng)集成形成自動(dòng)化漏洞處置劇本.
公司建某電商企業(yè)的SOAR應(yīng)用實(shí)踐:自動(dòng)化響應(yīng)釣魚攻擊設(shè)案例
案例概況
某電商企業(yè)作為互聯(lián)網(wǎng)行業(yè)的典型代表,面臨著日益復(fù)雜和頻繁的網(wǎng)絡(luò)安全威脅,尤其是釣魚郵件攻擊。釣魚郵件攻擊不僅可能導(dǎo)致用戶數(shù)據(jù)泄露,還可能引發(fā)更嚴(yán)重的安全事件,如賬戶被盜用、惡意軟件傳播等,對企業(yè)的聲譽(yù)和業(yè)務(wù)運(yùn)營造成嚴(yán)重影響。為了有效應(yīng)對這些威脅,提升安全運(yùn)營效率,降低數(shù)據(jù)泄露風(fēng)險(xiǎn),該電商企業(yè)決定引入SOAR平臺,實(shí)現(xiàn)釣魚郵件攻擊事件的自動(dòng)化響應(yīng)。
在SOAR平臺部署和配置過程中,該公司的首先將SOAR與已有的安全平臺進(jìn)行了深度集成。通過API接口,SOAR平臺與SIEM平臺、EDR平臺、郵件安全網(wǎng)關(guān)以及威脅情報(bào)平臺進(jìn)行對接,使SOAR平臺能夠獲取SIEM的信息、EDR的終端數(shù)據(jù)、郵件網(wǎng)關(guān)的郵件檢測結(jié)果以及TIP的威脅情報(bào),并能夠調(diào)用這些平臺的功能執(zhí)行響應(yīng)操作。
完成集成后,安全團(tuán)隊(duì)針對釣魚郵件攻擊場景創(chuàng)建了一個(gè)名為“釣魚郵件自動(dòng)響應(yīng)”的流程。該流程以SIEM檢測到的釣魚郵件相關(guān)事件作為觸發(fā),一旦觸發(fā),就會(huì)自動(dòng)執(zhí)行一系列預(yù)定義的操作。首先,SOAR平臺會(huì)自動(dòng)從SIEM獲取有關(guān)事件的詳細(xì)信息,包括郵件主題、發(fā)件人、方案、URL鏈接、附件信息等。從郵件內(nèi)容、URL鏈接、附件中提取出關(guān)鍵詞,例如發(fā)件人郵箱地址、URL、域名等。接著,SOAR平臺會(huì)自動(dòng)查詢威脅情報(bào)平臺,判斷這些IOC是否與已知的惡意IOC匹配。如果是惡意的,那么通過IAM(身份和訪問管理)系統(tǒng)接口禁止出訪的用戶賬號,防止攻擊者利用被盜取的權(quán)限進(jìn)行非法訪問。最后,SOAR平臺會(huì)自動(dòng)向安全分析師和出訪的員工發(fā)送通知,告知事件詳情并已采取的措施。如果安全分析師判斷為中風(fēng)險(xiǎn)事件,則給用戶發(fā)送安全提醒。最后,SOAR平臺會(huì)自動(dòng)記錄所有執(zhí)行的操作和結(jié)果,并生成事件響應(yīng)報(bào)告,為安全團(tuán)隊(duì)的事后分析和審計(jì)提供響應(yīng)。在實(shí)施“釣魚郵件自動(dòng)響應(yīng)”后,該公司的釣魚郵件攻擊事件響應(yīng)效率得到了顯著提升,從收到通知到執(zhí)行完成隔離、阻止等關(guān)鍵任務(wù)。
響應(yīng)整個(gè)過程往往只需要幾十甚至幾個(gè)操作,遠(yuǎn)快于過去的人工響應(yīng)操作方式。大部分響應(yīng)操作都由SOAR提供平臺自動(dòng)執(zhí)行,安全分析師只需進(jìn)行審核和確認(rèn),很大程度上減輕了分析師工作負(fù)擔(dān),也有效降低了人犯錯(cuò)誤的可能性,使響應(yīng)更規(guī)范、更可靠,并且有效阻止了釣魚攻擊的進(jìn)一步泄露,降低了數(shù)據(jù)泄露和業(yè)務(wù)中斷的風(fēng)險(xiǎn)。
三、自動(dòng)化級升級為智能輔助級(當(dāng)前主流)
1.主要目標(biāo)
建立量化的安全運(yùn)營體系,實(shí)現(xiàn)安全運(yùn)營的精細(xì)化管理和持續(xù)改進(jìn),引入AI技術(shù)提升對未知威脅、高級威脅和內(nèi)部威脅的檢測、分析和響應(yīng)能力,實(shí)現(xiàn)人機(jī)協(xié)同。
2.建設(shè)內(nèi)容
1)構(gòu)建安全大數(shù)據(jù)平臺:
- 數(shù)據(jù)湖/增強(qiáng)型SIEM:升級或構(gòu)建能夠處理海量、異構(gòu)數(shù)據(jù)的安全數(shù)據(jù)湖或增強(qiáng)型SIEM平臺;
- 數(shù)據(jù)治理:建立完善的數(shù)據(jù)治理體系,確保數(shù)據(jù)質(zhì)量;
- 數(shù)據(jù)處理能力:具備實(shí)時(shí)流處理和離線批處理能力。
2)引入AI安全分析平臺:
- 選擇采購商業(yè)AI安全分析平臺,或基于開源框架自建。
3)模型訓(xùn)練與優(yōu)化:
- 需要利用企業(yè)自身的安全數(shù)據(jù)對AI模型進(jìn)行訓(xùn)練和優(yōu)化。從成熟的AI應(yīng)用場景(如告警降噪、惡意軟件檢測)開始試點(diǎn),逐步擴(kuò)展應(yīng)用范圍。
4)部署UEBA平臺:
- 接入足夠的數(shù)據(jù)源(如AD日志、VPN日志、數(shù)據(jù)庫日志、EDR數(shù)據(jù)等),確保基線模型的準(zhǔn)確性;將UEBA告警與SIEM、SOAR集成,實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)。
5)深化SOAR應(yīng)用與智能化:
- 復(fù)雜劇本:開發(fā)更復(fù)雜的自動(dòng)化響應(yīng)劇本,例如自動(dòng)化威脅狩獵、自動(dòng)化漏洞修復(fù)等;
- AI輔助決策:AI Agent可以根據(jù)事件上下文推薦最佳響應(yīng)劇本或響應(yīng)措施;
- 自適應(yīng)響應(yīng):AI Agent可以根據(jù)響應(yīng)效果動(dòng)態(tài)調(diào)整響應(yīng)策略。
6) 建立量化指標(biāo)體系與持續(xù)改進(jìn):
- 指標(biāo)定義與采集:定義關(guān)鍵安全運(yùn)營指標(biāo)(KPIs),如MTTD,MTTR,告警準(zhǔn)確率,漏洞修復(fù)時(shí)間等,并利用平臺自動(dòng)化采集;
- 分析與優(yōu)化:利用AI技術(shù)對指標(biāo)數(shù)據(jù)進(jìn)行分析,識別瓶頸,驅(qū)動(dòng)流程和策略的持續(xù)改進(jìn);
- 績效關(guān)聯(lián):將量化指標(biāo)與團(tuán)隊(duì)績效掛鉤,激勵(lì)團(tuán)隊(duì)提升。
3.考核指標(biāo)
- 安全團(tuán)隊(duì)具備較強(qiáng)的安全分析、事件調(diào)查和基礎(chǔ)AI應(yīng)用能力;
- SOAR平臺廣泛應(yīng)用,大部分安全事件響應(yīng)流程實(shí)現(xiàn)自動(dòng)化;
- UEBA平臺有效運(yùn)行,能夠檢測到內(nèi)部威脅和未知威脅;
- 量化的安全運(yùn)營指標(biāo)體系建立并常態(tài)化運(yùn)行;
- 安全運(yùn)營效率和效果(如MTTD、MTTR、準(zhǔn)確率)得到顯著提升。
4.構(gòu)建威脅情報(bào)平臺案例
某能源企業(yè)的威脅情報(bào)應(yīng)用實(shí)踐
案例概況
某能源企業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的代表,面臨著日益復(fù)雜和嚴(yán)峻的網(wǎng)絡(luò)安全威脅。為了有效應(yīng)對這些威脅,提升整體的安全防護(hù)能力,該企業(yè)決定在安全運(yùn)營中引入威脅情報(bào),并采取分階段、分步驟的方式進(jìn)行部署和應(yīng)用。目標(biāo)是通過威脅情報(bào)的引入和應(yīng)用,提升威脅檢測的準(zhǔn)確性和效率,減少誤報(bào)和漏報(bào),增強(qiáng)安全運(yùn)營的主動(dòng)防御能力,并優(yōu)化安全策略和監(jiān)控措施。同時(shí),該企業(yè)希望借助威脅情報(bào)實(shí)現(xiàn)更高效的威脅狩獵,主動(dòng)發(fā)現(xiàn)潛藏在企業(yè)網(wǎng)絡(luò)中的威脅,從而更好地保護(hù)企業(yè)資產(chǎn)和業(yè)務(wù)安全。
某能源企業(yè)在部署威脅情報(bào)時(shí),他們采取了分階段、分步驟的方式:
情報(bào)源接入:該能源企業(yè)首先梳理了自身需要的威脅情報(bào)類型,包括惡意IP地址、惡意域名、惡意文件哈希、漏洞信息、攻擊組織信息(APT)、行業(yè)威脅情報(bào)等。然后,他們逐步接入了多個(gè)威脅情報(bào)源,如購買了某商業(yè)威脅情報(bào)、訂閱了某開源威脅情報(bào)、并加入了能源行業(yè)的信息安全共享聯(lián)盟,獲取行業(yè)內(nèi)的威脅情報(bào),并且將安全團(tuán)隊(duì)在日常安全運(yùn)營和事件響應(yīng)流程中發(fā)現(xiàn)的威脅情報(bào),也記錄到威脅情報(bào)平臺中,平臺會(huì)自動(dòng)對來自不同情報(bào)源的數(shù)據(jù)進(jìn)行清洗、去重、標(biāo)準(zhǔn)化處理,將不同格式的情報(bào)數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的格式,并提取出關(guān)鍵的IOC。
情報(bào)分析與評估:該能源企業(yè)的安全團(tuán)隊(duì)利用威脅情報(bào)平臺提供的分析工具,對收集到的威脅情報(bào)進(jìn)行分析與評估。如分析不同情報(bào)源之間的關(guān)聯(lián)關(guān)系,例如,某個(gè)惡意IP地址是否與某個(gè)已知的攻擊組織相關(guān)聯(lián)。分析威脅情報(bào)的時(shí)間分布和變化趨勢,了解當(dāng)前的威脅。并根據(jù)威脅信息的類型、來源、可信度等因素,評估其對企業(yè)資產(chǎn)的潛在威脅。
情報(bào)應(yīng)用:該能源企業(yè)將威脅情報(bào)與SIEM平臺、SOAR平臺以及防火墻、EDR等安全設(shè)備進(jìn)行了集成。首先,威脅情報(bào)平臺將經(jīng)過處理和評估的威脅情報(bào)(例如惡意IP地址、惡意域名、惡意文件等)提供給SIEM平臺。SIEM平臺利用這些威脅情報(bào),可以提升威脅檢測的準(zhǔn)確性和效率。例如,當(dāng)SIEM平臺檢測到某個(gè)IP地址與企業(yè)內(nèi)部主機(jī)通信時(shí),會(huì)自動(dòng)查詢威脅情報(bào),判斷該IP地址是否為已知的惡意IP地址。其次,威脅情報(bào)平臺為SOAR平臺的自動(dòng)化響應(yīng)腳本提供威脅情報(bào)支持。例如,在處理釣魚郵件攻擊事件時(shí),SOAR平臺可以自動(dòng)查詢威脅情報(bào),判斷郵件中的URL或附件是否為惡意。
實(shí)際效果:在威脅情報(bào)平臺投入使用后,通過與SIEM集成,威脅情報(bào)平臺提供的威脅情報(bào)幫助SIEM平臺更準(zhǔn)確地識別出不良流量和不良行為,減少了誤報(bào)和漏報(bào)。通過與SOAR集成,威脅情報(bào)平臺為自動(dòng)化響應(yīng)提供了關(guān)鍵的威脅情報(bào),使SOAR平臺能夠更快、更準(zhǔn)確地執(zhí)行響應(yīng)操作。通過對威脅情報(bào)的分析,該能源企業(yè)的安全團(tuán)隊(duì)能夠更早地了解威脅現(xiàn)狀,并采取主動(dòng)的防御措施,例如調(diào)整安全策略、加強(qiáng)安全監(jiān)控等。基于威脅情報(bào)中豐富的威脅情報(bào)信息,安全分析師可以更有效地進(jìn)行威脅狩獵,主動(dòng)發(fā)現(xiàn)潛藏在企業(yè)網(wǎng)絡(luò)中的威脅。
5.構(gòu)建AI分析平臺案例
某銀行構(gòu)建AI分析平臺案例
案例概況
某銀行作為一家大型金融機(jī)構(gòu),隨著數(shù)字化轉(zhuǎn)型的加速,其業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資產(chǎn)面臨著日益復(fù)雜的網(wǎng)絡(luò)安全威脅。傳統(tǒng)的安全運(yùn)營中心(SOC)在應(yīng)對海量告警、人工分析壓力以及新型威脅方面逐漸顯得力不從心。為了提升威脅檢測和響應(yīng)的效率與智能化水平,該銀行決定對其現(xiàn)有的安全運(yùn)營中心進(jìn)行升級,構(gòu)建一個(gè)強(qiáng)大的AI分析平臺,以更好地應(yīng)對當(dāng)前的安全挑戰(zhàn)。AI分析平臺建設(shè)目標(biāo)是實(shí)現(xiàn)智能化的告警處理、威脅情報(bào)分析和安全事件響應(yīng),從而提升整體的安全運(yùn)營效率和智能化水平。
首先,針對銀行當(dāng)前安全運(yùn)營面臨海量告警、人工分析壓力大、新型威脅不斷涌現(xiàn)等挑戰(zhàn),確定了AI平臺的幾個(gè)關(guān)鍵應(yīng)用方向,包括智能化的告警分診和研判,自動(dòng)化的威脅情報(bào)分析和管理,以及輔助安全事件的智能調(diào)查和響應(yīng)。
在規(guī)劃和設(shè)計(jì)時(shí),銀行考慮到數(shù)據(jù)安全和合規(guī)性要求,以及對性能的較高需求,選擇了部署本地化的大模型,并關(guān)注到AI智能體結(jié)合大模型和各種安全工具,實(shí)現(xiàn)更智能化的自動(dòng)化任務(wù)執(zhí)行,因此計(jì)劃構(gòu)建一個(gè)混合的AI平臺,包含通用的大語言模型,也包含針對安全領(lǐng)域垂直優(yōu)化的子模型或基礎(chǔ)AI技術(shù)架構(gòu)。功能包括利用知識圖譜技術(shù)關(guān)聯(lián)不同來源的安全數(shù)據(jù),展示完整的攻擊鏈路;通過自然語言交互實(shí)現(xiàn)智能化搜索、威脅推演,以及AI報(bào)告生成、安全策略建議等方面。
由于該銀行已構(gòu)建的數(shù)據(jù)中臺,因此該銀行根據(jù)具體目標(biāo)場景,著手進(jìn)行數(shù)據(jù)平臺的數(shù)據(jù)接入,并采集、存儲(chǔ)和處理來自各種安全設(shè)備(防火墻、入侵檢測系統(tǒng)、終端安全產(chǎn)品)和IT系統(tǒng)的日志、告警和流量數(shù)據(jù),進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化和清洗,為AI模型提供高質(zhì)量數(shù)據(jù)。
然后,該銀行與專業(yè)的安全廠商合作,將大模型和垂直領(lǐng)域基礎(chǔ)AI技術(shù)對接安全廠商的安全知識庫、威脅情報(bào)和惡意樣本數(shù)據(jù),優(yōu)先在告警分診、威脅情報(bào)分析和安全報(bào)告生成等相對成熟的AI應(yīng)用場景進(jìn)行試點(diǎn)測試。計(jì)劃收到效果后,再逐步開發(fā)異常行為分析、威脅狩獵、漏洞優(yōu)先級排序和輔助事件調(diào)查等更復(fù)雜的AI應(yīng)用。
在AI應(yīng)用開發(fā)過程中,該銀行非常重視AI的可解釋性和信任度問題。嘗試探索利用更多數(shù)據(jù)進(jìn)行訓(xùn)練、提供結(jié)果的同時(shí)提供思考過程等手段來提高AI決策過程的透明度,并進(jìn)行充分的驗(yàn)證和測試,以確保AI分析結(jié)果的準(zhǔn)確性。
最后,該銀行認(rèn)為AI雖然能自動(dòng)化處理大量重復(fù)性任務(wù),但最終的決策和復(fù)雜事件的處理仍然應(yīng)該由安全專家進(jìn)行審核和決策。因此,在自動(dòng)化處理流程環(huán)節(jié)增加專家審核和反饋的環(huán)節(jié),以提升安全運(yùn)營的準(zhǔn)確性和提高學(xué)習(xí)能力。
通過以上步驟,該銀行逐步構(gòu)建起了一個(gè)為其智能化安全運(yùn)營中心提供強(qiáng)大支持的AI平臺,實(shí)現(xiàn)了更有效地應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅。
四、智能輔助級升級為自主級(未來主流)
1.主要目標(biāo)
實(shí)現(xiàn)高度智能化、自動(dòng)化和自適應(yīng)的安全運(yùn)營,AI成為安全運(yùn)營的核心引擎,安全系統(tǒng)具備自學(xué)習(xí)、自演進(jìn)能力,能夠自主預(yù)測、檢測、響應(yīng)和防御威脅,安全運(yùn)營成為組織的核心競爭力。
2.建設(shè)內(nèi)容
1) AI技術(shù)的全面深度應(yīng)用:
- 將AI技術(shù)深度融入安全運(yùn)營的各個(gè)環(huán)節(jié),實(shí)現(xiàn)全方位的智能化;
- 廣泛應(yīng)用深度學(xué)習(xí)、可解釋AI(XAI)等更前沿的AI技術(shù);
- 構(gòu)建更復(fù)雜、更精準(zhǔn)的AI模型,例如多模態(tài)融合分析模型、自適應(yīng)安全策略模型等。
2) AI Agent的自主化應(yīng)用:
- AI Agent不僅提供建議,更能自主決策和行動(dòng);
- 實(shí)現(xiàn)多Agent協(xié)同,Agent負(fù)責(zé)不同任務(wù),共同完成復(fù)雜的安全運(yùn)營目標(biāo);
- AI Agent具備強(qiáng)大的自主學(xué)習(xí)和進(jìn)化能力,能夠根據(jù)環(huán)境變化自動(dòng)調(diào)整策略。
3)安全運(yùn)營平臺的自適應(yīng)能力建設(shè):
- 安全平臺能夠根據(jù)當(dāng)前的威脅態(tài)勢、風(fēng)險(xiǎn)評估結(jié)果、業(yè)務(wù)變化等因素,自動(dòng)調(diào)整安全策略和檢測規(guī)則;
- 實(shí)現(xiàn)預(yù)測性安全,能夠基于數(shù)據(jù)和知識預(yù)測未來的安全威脅,并提前采取預(yù)防措施;
- 構(gòu)建自愈合的安全系統(tǒng),能夠自動(dòng)發(fā)現(xiàn)和修復(fù)安全漏洞或配置錯(cuò)誤。
4)安全數(shù)據(jù)湖的智能化應(yīng)用:
- 安全數(shù)據(jù)湖不僅用于存儲(chǔ)數(shù)據(jù),更成為AI模型訓(xùn)練、知識圖譜構(gòu)建、威脅狩獵的智能分析平臺;
- 利用AI技術(shù)對數(shù)據(jù)湖中的數(shù)據(jù)進(jìn)行深度挖掘,發(fā)現(xiàn)隱藏的模式和關(guān)聯(lián)。
5)人機(jī)協(xié)同模式的高度進(jìn)化:
- AI系統(tǒng)能夠像專家一樣思考和行動(dòng),承擔(dān)絕大部分安全運(yùn)營任務(wù);
- 安全分析師的角色轉(zhuǎn)變?yōu)閼?zhàn)略規(guī)劃者、創(chuàng)新研究者、復(fù)雜決策者和AI監(jiān)督者;
- 人機(jī)交互更加自然流暢,例如通過自然語言進(jìn)行深度對話和協(xié)作。
6) 安全知識體系的自主演進(jìn):
- 構(gòu)建動(dòng)態(tài)的安全知識圖譜和知識庫,AI Agent能夠自動(dòng)學(xué)習(xí)、更新和應(yīng)用安全知識。
3.考核指標(biāo)
- 安全團(tuán)隊(duì)具備強(qiáng)大的AI研發(fā)r和創(chuàng)新能力;
- AI Agent高度自主化運(yùn)行,能夠有效提升安全運(yùn)營的各個(gè)方面;
- 安全運(yùn)營平臺具備強(qiáng)大的自適應(yīng)能力;
- 安全運(yùn)營的智能化水平達(dá)到業(yè)界領(lǐng)先;
- 能夠有效防御各種已知和未知的復(fù)雜攻擊;
- 安全運(yùn)營能力成為企業(yè)的核心競爭力。
4.關(guān)注點(diǎn)
隨著人工智能技術(shù)在安全運(yùn)營中心(ISOC)的深入應(yīng)用,安全分析師的角色將逐步從傳統(tǒng)的“規(guī)則工程師”“告警分析師”轉(zhuǎn)變?yōu)?ldquo;AI訓(xùn)練師”“AI監(jiān)督員”和“安全策略架構(gòu)師”。這不僅需要高效具備傳統(tǒng)的安全技能,還需要掌握人工智能相關(guān)的知識和技能。企業(yè)需要加強(qiáng)對安全分析師的培訓(xùn),幫助他們實(shí)現(xiàn)角色轉(zhuǎn)型,才能充分運(yùn)用人工智能技術(shù),構(gòu)建更智能的安全運(yùn)營體系。
