安全运营中心(SOC)不管是只有两到三人的虚拟团队,还是配备了7X24小时的全天候运营团队,评估安全运营能力都将有助于提升安全威胁的检测时间(MTTD)和相应时间。
为此安全厂商LogRhythm开发了安全运营成熟度模型(SOMM),该模型阐述了如何测量安全运营的有效性,帮助企业了解并改进安全运营水平,最终提高对安全威胁的应对能力。
安全运营成熟度有五个级别,每个级别都建立在先前的基础上,通过改进技术和流程的能力,提供安全运营成熟度。随着成熟度的提高,可以提升安全运营的效率,获得更快的MTTR和MTTD,从本质上降低发生高影响安全事件的风险。
下图提供了随着成熟度提高MTTD/MTTR降低的示例:
安全成熟度模型从安全运营能力、组织特征、风险特征三个方面进行每个能力级别的描述,定义了每一能力级别应实现的关键技术和工作流程能力,以支持安全运营体系评估、规划与改进。
LEVEL 0初始级
LEVEL 0 是初始级,基本特征为:1)无安全运营能力;2)无适当的流程;3)被动流程。
▼▼安全运营能力
无
▼▼组织特征
预防导向(例如:防火墙、防病毒等)
基于技术与职能部门的孤岛日志;无集中日志可见性
威胁与失陷指标存在,它们不可见,同时没有进行威胁猎捕披露它们
没有正式的安全事件响应流程;依靠个人经验作出响应
▼▼风险特征
不合规
无法察觉所有内部威胁
无法察觉所有外部威胁
无法察觉高级持续性威胁(APT)
IP可能被窃取(如果对国家与网络犯罪有兴趣)
LEVEL 1 是最小合规级,基本特征为:1)最小安全运营能力;2)无正式安全事件响应流程;3)合规驱动资源投入。
LEVEL 1最小合规级
▼▼安全运营能力
按强制要求对日志(log)与事件(event)进行集中化管理
按强制要求以合规为中心进行服务器取证,比如文件完整性监控(FIM)与端点检测响应(EDR)
最小化合规强制要求监控与响应
▼▼组织特征
合规驱动资源投入或已经识别需要保护环境的特定领域
通过报告评审发现合规风险;管理违规流程可能存在,也可能不存在
提高受保护区域威胁的可见性;但缺乏人员和流程进行有效威胁评价及优先级排序
没有正式的安全事件响应流程;依靠个人经验作出响应
▼▼风险特征
显著降低合规风险(取决于审计的深度)
无法察觉大部分内部威胁
无法察觉大部分外部威胁
无法察觉高级持续性威胁(APT)
IP可能被窃取(如果对国家与网络犯罪有兴趣)
LEVEL 2稳妥合规级
LEVEL 2 是稳妥合规级,基本特征为:1)基本安全运营能力;2)被动并且手工的工作流程;3)基本监控与响应流程。
▼▼安全运营能力
目标驱动日志(log)与事件(event)进行集中化管理
目标驱动服务器与端点取证
目标驱动环境风险特征
被动、手工脆弱性情报工作流程
被动、手工威胁性情报工作流程
基础性机器关联分析与告警优先级
建立基础性监控与响应流程
▼▼组织特征
超越最低限度复选框合规,寻求效率和改进保证
已经认识到组织无法察觉大多数威胁;致力于实际的改进,以检测和响应高风险威胁,重点关注高风险领域
已经建立正式的流程并分配监控和高风险告警职责
建立基本但正式的安全事件响应流程
▼▼风险特征
极具韧性并且高效的合规状态
对内部威胁具有良好的可见性,但存在部分盲点
对外部威胁具有良好的可见性,但存在部分盲点
大多数情况无法察觉高级持续性威胁(APT),但有可能检测到APT的指标和证据
除了那些利用APT类型攻击或针对盲点的攻击外,对网络犯罪具有更大的韧性
更容易受到国家的打击
LEVEL 3 是警觉级,基本特征为:1)正式监控与响应流程;2)面向调查与缓解工作流程的自动化;3)持续的安全运营实践。▼▼安全运营能力
LEVEL 3警觉级
全面的日志(log)与事件(event)进行集中化管理
全面的服务器与端点取证
目标驱动网络取证
基于IOC威胁情报整合到安全分析与工作流中
全面的脆弱性基础关联分析以及工作流整合
针对已知威胁检测的基于IOC与TTP场景分析与高级机器分析
目标驱动的异常检测机器分析(例如:通过行为分析)
正式、成熟的监控与响应流程,以及针对通用威胁的标准剧本
建立运转的实体或虚拟SOC
针对威胁调查工作流的案例管理
目标驱动自动化调查与缓解工作流
基础性MTTD/MTTR运营指标
▼▼组织特征
已经认识到组织无法察觉很多高影响威胁
已经在组织流程与员工数量上进行了投入,以显著改善所有类型威胁的检测与响应能力
已经投入资源建设正式的安全运营与安全事件响应中心(SOC),并且由训练有素的员工进行有效运营
针对告警进行有效地监控,并且进而能够进行主动威胁猎捕
利用自动化改进威胁调查与安全事件响应流程的效率与速度
▼▼风险特征
极具韧性并且高效的合规状态
对内部威胁高度可见性并且快速响应
对外部威胁高度可见性并且快速响应
对APT具有良好的可见性,但存在盲点
对网络犯罪具有很强的韧性,除了针对盲点的APT攻击
仍然容易受到国家打击,但很大可能更早的检测并且更快速的响应
LEVEL 4韧性级
LEVEL 4 是韧性级,基本特征为:1)高级文档化响应流程;2)自动化威胁鉴定、调查以及响应流程;3)完全自主自动化--从鉴定到缓解。
▼▼安全运营能力
全面的日志(log)与事件(event)进行集中化管理
全面的服务器与端点取证
全面网络取证
基于行业特定的IOC与TTP威胁情报整合到安全分析与工作流中
全面脆弱性情报高级关联分析以及自动化工作流整合
针对已知威胁检测的基于IOC与TTP高级场景机器分析
针对全面异常检测的高级机器分析(例如:通过基于AI/ML的全方位行为分析)
建立文档化、成熟的响应流程,以及针对高级威胁(例如:APT)的标准剧本
建立24/7运转的实体或虚拟SOC
跨组织案例协作与自动化
调查、缓解工作流全面自动化
针对通用威胁从鉴定到缓解的完全自主自动化
高级MTTD/MTTR运营指标以及历史趋势
▼▼组织特征
是国家、网络恐怖分子、犯罪组织的高价值目标
遭受所有途径的持续性攻击:物理的,逻辑的,社会的
无法容忍服务终端与违约,这意味着最高级别组织失败
总体来说,对威胁管理和安全采取积极主动的态度
投入一流的人员、技术和流程
在组织与运营冗余的情况下进行24/7的告警监控
具有广泛地主动威胁预测与威胁猎捕能力
尽可能自动化进行威胁鉴定、调查以及响应流程
▼▼风险特征
极具韧性并且高效的合规状态
发现所有类型威胁并能快速响应
在网络攻击生命周期早期发现高级持续性威胁(APT)的证据,并能够战略地管理其活动
对所有类型的网络犯罪都具有很强的韧性
能够承受并且定于大多数极端国家级对手
领取专属 10元无门槛券
私享最新 技术干货