打造卓有成效的安全运维中心

引言：安全运维中心（SOC）也称为网络运维中心，其根本使命是，帮助企业检测、分析、响应、报告、防止网络安全事件。但是，在这个不断变化的威胁环境中，要成功实现上述任务必须随机而变，这就对安全分析师和技术带来更为巨大负担。

多安全运维中心都采用一种传统的响应性方法，并且提供一套标准服务，其中包括日志管理、实时监视、事件响应和调查。这些安全运维中心使用传统的安全信息和事件管理（SIEM），从内部源收集和关联日志数据，并且运行简单实时的基于规则的分析，以此检测已知威胁。在触发警告时，就展开调查。在一段时间内，这种水平的服务是足够的。但是，随着攻击变得越来越复杂，一个很明显的事实是，很多恶意活动的发生不会产生明显的日志数据。不妨想一下零日漏洞和有针对性的恶意软件。这意味着，传统的攻击检测已经远远不够。

随着成功的安全破坏不断增长，攻击者们可以在几个星期、几个月的时间里不被检测到，仅仅调查警告是不够的。安全运维中心的分析师知道：要检测和阻止每次攻击是不可能的，所以必须采取一种前瞻性的方法来保护公司资产，找出活跃的威胁和被攻击破坏的系统。威胁搜寻专注于积极地找到进入公司网络的威胁，这就要求深入检测有可能被破坏的系统，并查看大范围历史数据，从而发现传统的警告机制没有确认的恶意活动。

威胁搜寻

威胁搜寻涉及到很多工具和技能。如果分析师发现了可能遭受攻击破坏的证据，就可以调查并决定发生了什么和如何发生的，以及被感染的其它系统，从而可以减轻攻击并修复其造成的后果。不幸的是，人工搜寻可能要求大量的工作，但找到任何蛛丝马迹的机会可能很有限。虽然找到被遗漏的问题可能很令人高兴，但是，如果没有适当的技术，就会事倍功半。好在安全分

析技术和威胁情报的发展有助于充分利用有限的分析资源，实现更有效的搜寻。这些技术可以通过两种方法起作用：一是关注于更有可能被攻击破坏的资产，二是根据最新的威胁情报重新评估过去的事件。

搜寻被攻击破坏的系统就像多数安全运维分析师所知道的那样，在很多情况下，分析师有可能听到普通员工报告说“感觉不对头”从而了解到攻击，而不是通过SIEM警告。高级攻击往往要避免引起明显的警报，但高级攻击仍有可能留下有可能被遗漏的证据。被攻击损害的系统的表现与其过去并不一样。但是，依靠人工来确认异常活动往往是不够的，并且在当今的威胁环境中也无法做到“水涨船高”。

这就需要高级分析。积极查找并彻底调查可能遭受攻击损害的系统需要花费时间、精力、技能，而这些在多数企业中要花费较高的代价。高级分析根据发现的可能表明发生攻击损害的异常行为，可有助于确认从哪里开始找。突然偏离其正常标准的系统可能正在运行新的未知进程，或者向不可信任的网络发送大量信息，或者与企业常规的业务范围之外的地理位置进行通信。每个异常有可能是无害的，也有可能指向了一个潜在的受攻击破坏的系统。为发现这种异常，多数成功的搜寻都要从多种分析方法的组合开始：通过统计分析来确认异常，通过机器学习算法来评估这些异常，看其是否类似于某种恶意行为。根据这种分析，最有可能被攻击破坏的系统就可以得到彻底的调查。

重新评估过去

威胁搜寻还包括通过检查历史数据来查找威胁。为克服传统SIEM的局限性，威胁搜寻使用更新的基于大数据的平台，可以长时间地从多种内部源和外部源中收集、管理、分析海量的数据。而实时分析有可能由于“一见钟情”而遗漏掉一些东西，大数据系统可用于检查大量的历史日志和可用的其它数据源。这就有了“后见之明”的好处，通过利用最新的威胁情报进行再次分析向安全分析师提供了重新评估数据的能力。例如，由于当时可用的时间问题，与攻击者网络基础架构的潜在恶意连接有可能并没有引起注意。通过将关于网络通信的最新威胁情报对照历史元数据，分析师就可以确认攻击。

不管分析师是积极地搜寻受攻击破坏的系统，或者是在重新评估过去的事件，目标都是增加成功搜寻威胁的机会。大数据平台、实时的全球威胁情报、实施基于规则的统计分析和机器学习分析有助于减轻分析师的负担。这些技术必须协同工作，并且结合分析师的洞察力和对这种更丰富的威胁猎取环境的知识。有了这种从追逐警告到猎取威胁的能力，安全运维中心就可以在面对高级攻击时做到更为积极主动和有效。

征稿启示

发现栏目旨在针对信息化建设中的技术、产品、解决方案和发展趋势。栏目评论的内容涉及网络、存储、计算、云、系统、安全、运维和管理等方面内容，为了更好的实现这个目标，使发现栏目的文章更加精彩、充实、实用，特向广大读者朋友征集稿件，字数在3000字左右，要求必须原创。希望广大读者朋友踊跃投稿。

投稿须知：

1.欢迎采用电子邮件形式投稿，稿件，邮件可直接发给投稿信箱：netadmin@365master.com。以电子邮件投稿的读者，请在邮件主题中注明“投稿”字样。

2.来稿请以TXT文本格式保存。文章中需要插入图片者，请将清晰图片另存为BMP/JPEG/TIF格式。

3.所有来稿本刊会在五个工作日内回信确认是否收到，一个月内确认是否发表。作者请在来信中注明自己的姓名、工作单位、联系地址、身份证号码等信息，以便本刊随时与您联系。如未得到回复，请您确定一下邮件是否正常发出，若重发后仍未得到回复，可以打电话查询，编辑部电话：010-88558021。