好看的言情小说,懒人听书,长生界辰东小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

到 SOC 還是不到 SOC？

接下來(lái)，這個(gè)系列我們跟著英國(guó)的專家，探討一下SOC，看看SOC的發(fā)展趨勢(shì)，當(dāng)然我們還是秉承一貫的聲明，這些內(nèi)容是為了大家能夠多一個(gè)參考，在開(kāi)展工作中，一定有因地制宜，切實(shí)履行我國(guó)的法律法規(guī)，履行法定義務(wù)，做到合規(guī)和安全。

因此，如果在英國(guó)正在實(shí)施一個(gè)大型數(shù)字項(xiàng)目，并在項(xiàng)目的每個(gè)階段都遵循GOV.UK 服務(wù)手冊(cè)。

您現(xiàn)在已準(zhǔn)備好上線，但項(xiàng)目的認(rèn)證機(jī)構(gòu)需要知道該服務(wù)是否具有“保護(hù)性監(jiān)控”。這意味著團(tuán)隊(duì)需要花費(fèi)時(shí)間和精力來(lái)采購(gòu)（或建立）安全運(yùn)營(yíng)中心（SOC）。

或者確實(shí)如此？

構(gòu)建 SOC 是一項(xiàng)需要投入大量時(shí)間和金錢(qián)的任務(wù)。本博客探討組織是否有可能以不需要“全脂”SOC 的方式設(shè)計(jì)系統(tǒng)。

SOC 如何工作？

SOC 通常由與操作人員不同的團(tuán)隊(duì)來(lái)運(yùn)行。這有助于區(qū)分管理數(shù)字服務(wù)的人員和監(jiān)控安全日志的人員之間的職責(zé)。

SOC 本身通常有專門(mén)的工具，最常見(jiàn)的是 SIEM（安全信息和事件管理）工具。它以日志和數(shù)據(jù)源作為輸入，執(zhí)行一些關(guān)聯(lián)和規(guī)則檢查，然后輸出警報(bào)以進(jìn)行分類(lèi)。SOC 工具的許可可能很昂貴，通常以企業(yè)為中心的解決方案往往成本最高（并且通常需要每年續(xù)訂）。

SOC 團(tuán)隊(duì)通常包括：

安全分析師對(duì)事件和警報(bào)進(jìn)行分類(lèi)
安全工程師管理工具（以及將項(xiàng)目引入 SOC）
某種形式的管理和行政職能

并且在某些情況下

威脅情報(bào)功能

遇到安全事件，沒(méi)有日志來(lái)幫助弄清楚發(fā)生了什么，并且必須向高層報(bào)告，這是一個(gè)糟糕的情況。在某些情況下，出于法律和取證目的可能需要日志，因此證明其處理和完整性的監(jiān)管鏈非常重要。

根據(jù) SIEM 工具，有些工具提供日志的加密完整性和驗(yàn)證，以確定日志是否已被篡改。SOC 通常是確保日志的一個(gè)很好的策略：

安全收集
經(jīng)授權(quán)的個(gè)人可以訪問(wèn)
根據(jù)組織政策
不是簡(jiǎn)單地收集以備不時(shí)之需（或被遺忘）

然而，設(shè)置自己的 SOC 可能既昂貴又耗時(shí)，因此一種選擇是外包 SOC。然而，外部 SOC 分析師可能缺乏（例如）項(xiàng)目架構(gòu)的知識(shí)，并且可能無(wú)法像內(nèi)部 SOC 那樣及時(shí)響應(yīng)警報(bào)。

GPG13：房間里的大象

NCSC 的前身 CESG 發(fā)布了有關(guān)保護(hù)性監(jiān)測(cè)的“良好實(shí)踐指南”(GPG)。被稱為 GPG13，負(fù)責(zé)處理風(fēng)險(xiǎn)的人員經(jīng)常在服務(wù)上線之前使用 GPG13 作為要求。在某些情況下，這將保護(hù)性監(jiān)控變成了一項(xiàng)復(fù)選框練習(xí)，SOC 工具的營(yíng)銷(xiāo)材料將其產(chǎn)品描述為“符合 GPG13”。

隨著應(yīng)用程序和服務(wù)的架構(gòu)和技術(shù)堆棧開(kāi)始多樣化，這個(gè)問(wèn)題變得更加嚴(yán)重，因?yàn)榉?wù)所有者沒(méi)有動(dòng)力去識(shí)別和監(jiān)控未記錄在 GPG13 中的風(fēng)險(xiǎn)。

GPG13 在 NCSC 成立之前已被棄用。然而，我們?nèi)匀蛔尶蛻粼谒麄兊谋ＷC過(guò)程中引用 GPG13，并且偶爾會(huì)被問(wèn)到何時(shí)發(fā)布更換指南。為了區(qū)分“GPG13 保護(hù)性監(jiān)控方法”和 NCSC 當(dāng)前的方法，我將使用術(shù)語(yǔ)“安全監(jiān)控”來(lái)描述使用云原生服務(wù)構(gòu)建的服務(wù)所考慮的方法。

云如何改變一切？

英國(guó)政府于 2013 年推出了“云優(yōu)先”政策，目標(biāo)是讓政府部門(mén)在考慮傳統(tǒng)的本地部署之前考慮云優(yōu)先解決方案。

那么，向云的轉(zhuǎn)變?nèi)绾握{(diào)整我們的安全要求呢？對(duì)于從本地基礎(chǔ)設(shè)施直接遷移到托管 IaaS 的部署，這并不會(huì)減少對(duì) SOC 的需求，因?yàn)闆](méi)有固有的共享責(zé)任模型來(lái)減少運(yùn)營(yíng)責(zé)任。通過(guò)遵循和實(shí)施NCSC 的云安全指南，組織可以越來(lái)越多地轉(zhuǎn)向云提供商提供的監(jiān)控工具（而不是依賴 SIEM、SOC 或?qū)I(yè)安全人員）。

SOC 的一個(gè)關(guān)鍵優(yōu)勢(shì)是能夠識(shí)別特定于環(huán)境的風(fēng)險(xiǎn)并發(fā)出警報(bào)。此要求不會(huì)隨著安全監(jiān)控而消失，識(shí)別和監(jiān)控任何自定義警報(bào)仍然很重要。

什么，沒(méi)有 SOC？

那么，什么樣的方法已經(jīng)被用作全脂 SOC 的替代方案呢？以下是目前正在采用的一些政府項(xiàng)目：

完全云原生架構(gòu)僅使用“云原生”服務(wù)的已部署服務(wù)，利用圍繞服務(wù)使用進(jìn)行嚴(yán)格身份管理的優(yōu)勢(shì)，并且沒(méi)有傳統(tǒng)上部署在虛擬機(jī)上的部署、修補(bǔ)和故障排除服務(wù)的運(yùn)營(yíng)開(kāi)銷(xiāo)。
零接觸生產(chǎn)部署的服務(wù)，工程師永遠(yuǎn)無(wú)法直接訪問(wèn)生產(chǎn)服務(wù)（除了嚴(yán)格監(jiān)控和審核的打破玻璃解決方案之外）。這降低了系統(tǒng)風(fēng)險(xiǎn)并減少了安全監(jiān)控用例。
環(huán)境分離對(duì)應(yīng)保持隔離的功能使用單獨(dú)的云帳戶。例如，存儲(chǔ)安全監(jiān)控日志和不應(yīng)訪問(wèn)的服務(wù)（即使在玻璃破碎事件期間）的帳戶托管在單獨(dú)的云帳戶中，并具有嚴(yán)格的訪問(wèn)控制和警報(bào)。
簡(jiǎn)化日志收集云原生服務(wù)提供自己的日志（以及整合和分析日志的服務(wù)）。隨著安全監(jiān)控要求的簡(jiǎn)化，事件的記錄也被簡(jiǎn)化。日志現(xiàn)在采用一致的格式，并且可以收集并存儲(chǔ)在云端。一些云提供商提供了解決日志完整性的選項(xiàng)，例如存儲(chǔ)可用于驗(yàn)證日志完整性的校驗(yàn)和，并且在審核期間可能有用。
取代已經(jīng)擁有中央 SOC 的 SIEM政府部門(mén)發(fā)現(xiàn)入門(mén)服務(wù)是一項(xiàng)耗時(shí)的任務(wù)。通過(guò)保持架構(gòu)簡(jiǎn)單，一些人已經(jīng)能夠通過(guò)擴(kuò)展其云原生日志記錄解決方案以及將規(guī)則和警報(bào)直接構(gòu)建到平臺(tái)中來(lái)取代 SIEM 的要求。安全開(kāi)發(fā)實(shí)踐意味著運(yùn)營(yíng)團(tuán)隊(duì)對(duì)安全負(fù)有責(zé)任，因此不需要安全團(tuán)隊(duì)。事件管理至關(guān)重要，了解該做什么以及他們的責(zé)任也很重要。
打破玻璃有時(shí)需要直接生產(chǎn)訪問(wèn)。這可能是由于操作需要（例如調(diào)查性能下降），也可能是安全事件的一部分的要求。在某些項(xiàng)目中，運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)調(diào)查和運(yùn)行事件，這是通過(guò)記錄良好的流程和程序、良好的訪問(wèn)和變更控制以及嚴(yán)格的系統(tǒng)審核來(lái)實(shí)現(xiàn)的。訪問(wèn)是有時(shí)間限制的，所有事件都由團(tuán)隊(duì)中的其他人審核和監(jiān)控。
驗(yàn)證日志記錄如果日志記錄停止工作并且沒(méi)有人注意到，那么所有這一切都將毫無(wú)用處。如果在時(shí)間窗口內(nèi)未觀察到令牌，則可以向服務(wù)注入金絲雀令牌并發(fā)出警報(bào)/錯(cuò)誤。

最后的想法

在官方構(gòu)建服務(wù)的地方，“云優(yōu)先”應(yīng)該是重點(diǎn)，這應(yīng)該包括上述所有強(qiáng)調(diào)的領(lǐng)域，以幫助加強(qiáng)和簡(jiǎn)化安全監(jiān)控要求。

對(duì)于 AWS（例如），您擁有嚴(yán)格控制的云原生服務(wù)，例如 GuardDuty、Security Hub、CloudTrail、CloudWatch。因此，您無(wú)需部署 SIEM，而是讓運(yùn)營(yíng)團(tuán)隊(duì)擁有監(jiān)控權(quán)，在設(shè)計(jì)簡(jiǎn)單且安全的環(huán)境中工作。通過(guò)賦予運(yùn)營(yíng)團(tuán)隊(duì)更多的服務(wù)所有權(quán)，我們會(huì)發(fā)現(xiàn)安全監(jiān)控變得可以重復(fù)使用，就像現(xiàn)在部署基礎(chǔ)設(shè)施時(shí)發(fā)生的情況一樣。

在評(píng)估項(xiàng)目是否需要 SOC 時(shí)，您應(yīng)該考慮依賴 SOC 的功能以及這些功能是否以其他方式涵蓋：

如果事件發(fā)生，您是否需要日志來(lái)調(diào)查事件？云原生服務(wù)（如果配置正確）可以做到這一點(diǎn)，您將需要考慮日志保留以及可以訪問(wèn)或刪除日志的角色。
是否需要在攻擊發(fā)生時(shí)進(jìn)行檢測(cè)？云原生/無(wú)服務(wù)器架構(gòu)在可能的攻擊性質(zhì)方面將受到更多限制，因?yàn)榻M件通常是單一目的，需要處理底層基礎(chǔ)設(shè)施。通過(guò)評(píng)估您的架構(gòu)中可能存在的攻擊類(lèi)型，您可以設(shè)置特定的警報(bào)。
是否有管理事件的要求？與上述一樣，在無(wú)服務(wù)器環(huán)境中警報(bào)的性質(zhì)會(huì)有所不同，并且該服務(wù)的運(yùn)營(yíng)團(tuán)隊(duì)可能比一般 SOC 分析師更能夠識(shí)別可疑行為。然后，重要的一步是確保運(yùn)營(yíng)團(tuán)隊(duì)知道如何升級(jí)懷疑并測(cè)試該流程。

NCSC 認(rèn)為，基于 SOC 和保護(hù)性監(jiān)控的系統(tǒng)在安全工具箱中仍然占有一席之地。對(duì)于某些企業(yè)IT系統(tǒng)（例如端點(diǎn)）和基于傳統(tǒng)IaaS的架構(gòu)（以及比官方分類(lèi)更高的系統(tǒng)），仍然需要提供系統(tǒng)的反應(yīng)性監(jiān)控。集中式 SOC 也有好處，政府部門(mén)可以識(shí)別更廣泛的攻擊，這些攻擊正在探測(cè)組織使用的多種服務(wù)。

David S，高級(jí)安全架構(gòu)師

后記：所謂師夷長(zhǎng)技以制夷，在思想解放的情況下，要充分發(fā)揮“拿來(lái)主義”，同時(shí)也要根據(jù)自己的需要修剪成自己所需要的樣子。

當(dāng)前標(biāo)題：到 SOC 還是不到 SOC？
URL鏈接：http://fisionsoft.com.cn/article/ccocppc.html

新聞中心

SOC 如何工作？

GPG13：房間里的大象

云如何改變一切？

什么，沒(méi)有 SOC？

最后的想法

David S，高級(jí)安全架構(gòu)師

其他資訊

SOC 如何工作？

云如何改變一切？

什么，沒(méi)有 SOC？

David S，高級(jí)安全架構(gòu)師