首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

安全运营能力成熟度模型(SOMM)

安全运营中心(SOC)不管是只有两到三人的虚拟团队,还是配备了7X24小时的全天候运营团队,评估安全运营能力都将有助于提升安全威胁的检测时间(MTTD)和相应时间。

为此安全厂商LogRhythm开发了安全运营成熟度模型(SOMM),该模型阐述了如何测量安全运营的有效性,帮助企业了解并改进安全运营水平,最终提高对安全威胁的应对能力。

安全运营成熟度有五个级别,每个级别都建立在先前的基础上,通过改进技术和流程的能力,提供安全运营成熟度。随着成熟度的提高,可以提升安全运营的效率,获得更快的MTTR和MTTD,从本质上降低发生高影响安全事件的风险。

下图提供了随着成熟度提高MTTD/MTTR降低的示例:

安全成熟度模型从安全运营能力、组织特征、风险特征三个方面进行每个能力级别的描述,定义了每一能力级别应实现的关键技术和工作流程能力,以支持安全运营体系评估、规划与改进。

LEVEL 0初始级

LEVEL 0 是初始级,基本特征为:1)无安全运营能力;2)无适当的流程;3)被动流程。

▼▼安全运营能力

▼▼组织特征

预防导向(例如:防火墙、防病毒等)

基于技术与职能部门的孤岛日志;无集中日志可见性

威胁与失陷指标存在,它们不可见,同时没有进行威胁猎捕披露它们

没有正式的安全事件响应流程;依靠个人经验作出响应

▼▼风险特征

不合规

无法察觉所有内部威胁

无法察觉所有外部威胁

无法察觉高级持续性威胁(APT)

IP可能被窃取(如果对国家与网络犯罪有兴趣)

LEVEL 1 是最小合规级,基本特征为:1)最小安全运营能力;2)无正式安全事件响应流程;3)合规驱动资源投入。

LEVEL 1最小合规级

▼▼安全运营能力

按强制要求对日志(log)与事件(event)进行集中化管理

按强制要求以合规为中心进行服务器取证,比如文件完整性监控(FIM)与端点检测响应(EDR)

最小化合规强制要求监控与响应

▼▼组织特征

合规驱动资源投入或已经识别需要保护环境的特定领域

通过报告评审发现合规风险;管理违规流程可能存在,也可能不存在

提高受保护区域威胁的可见性;但缺乏人员和流程进行有效威胁评价及优先级排序

没有正式的安全事件响应流程;依靠个人经验作出响应

▼▼风险特征

显著降低合规风险(取决于审计的深度)

无法察觉大部分内部威胁

无法察觉大部分外部威胁

无法察觉高级持续性威胁(APT)

IP可能被窃取(如果对国家与网络犯罪有兴趣)

LEVEL 2稳妥合规级

LEVEL 2 是稳妥合规级,基本特征为:1)基本安全运营能力;2)被动并且手工的工作流程;3)基本监控与响应流程。

▼▼安全运营能力

目标驱动日志(log)与事件(event)进行集中化管理

目标驱动服务器与端点取证

目标驱动环境风险特征

被动、手工脆弱性情报工作流程

被动、手工威胁性情报工作流程

基础性机器关联分析与告警优先级

建立基础性监控与响应流程

▼▼组织特征

超越最低限度复选框合规,寻求效率和改进保证

已经认识到组织无法察觉大多数威胁;致力于实际的改进,以检测和响应高风险威胁,重点关注高风险领域

已经建立正式的流程并分配监控和高风险告警职责

建立基本但正式的安全事件响应流程

▼▼风险特征

极具韧性并且高效的合规状态

对内部威胁具有良好的可见性,但存在部分盲点

对外部威胁具有良好的可见性,但存在部分盲点

大多数情况无法察觉高级持续性威胁(APT),但有可能检测到APT的指标和证据

除了那些利用APT类型攻击或针对盲点的攻击外,对网络犯罪具有更大的韧性

更容易受到国家的打击

LEVEL 3 是警觉级,基本特征为:1)正式监控与响应流程;2)面向调查与缓解工作流程的自动化;3)持续的安全运营实践。▼▼安全运营能力

LEVEL 3警觉级

全面的日志(log)与事件(event)进行集中化管理

全面的服务器与端点取证

目标驱动网络取证

基于IOC威胁情报整合到安全分析与工作流中

全面的脆弱性基础关联分析以及工作流整合

针对已知威胁检测的基于IOC与TTP场景分析与高级机器分析

目标驱动的异常检测机器分析(例如:通过行为分析)

正式、成熟的监控与响应流程,以及针对通用威胁的标准剧本

建立运转的实体或虚拟SOC

针对威胁调查工作流的案例管理

目标驱动自动化调查与缓解工作流

基础性MTTD/MTTR运营指标

▼▼组织特征

已经认识到组织无法察觉很多高影响威胁

已经在组织流程与员工数量上进行了投入,以显著改善所有类型威胁的检测与响应能力

已经投入资源建设正式的安全运营与安全事件响应中心(SOC),并且由训练有素的员工进行有效运营

针对告警进行有效地监控,并且进而能够进行主动威胁猎捕

利用自动化改进威胁调查与安全事件响应流程的效率与速度

▼▼风险特征

极具韧性并且高效的合规状态

对内部威胁高度可见性并且快速响应

对外部威胁高度可见性并且快速响应

对APT具有良好的可见性,但存在盲点

对网络犯罪具有很强的韧性,除了针对盲点的APT攻击

仍然容易受到国家打击,但很大可能更早的检测并且更快速的响应

LEVEL 4韧性级

LEVEL 4 是韧性级,基本特征为:1)高级文档化响应流程;2)自动化威胁鉴定、调查以及响应流程;3)完全自主自动化--从鉴定到缓解。

▼▼安全运营能力

全面的日志(log)与事件(event)进行集中化管理

全面的服务器与端点取证

全面网络取证

基于行业特定的IOC与TTP威胁情报整合到安全分析与工作流中

全面脆弱性情报高级关联分析以及自动化工作流整合

针对已知威胁检测的基于IOC与TTP高级场景机器分析

针对全面异常检测的高级机器分析(例如:通过基于AI/ML的全方位行为分析)

建立文档化、成熟的响应流程,以及针对高级威胁(例如:APT)的标准剧本

建立24/7运转的实体或虚拟SOC

跨组织案例协作与自动化

调查、缓解工作流全面自动化

针对通用威胁从鉴定到缓解的完全自主自动化

高级MTTD/MTTR运营指标以及历史趋势

▼▼组织特征

是国家、网络恐怖分子、犯罪组织的高价值目标

遭受所有途径的持续性攻击:物理的,逻辑的,社会的

无法容忍服务终端与违约,这意味着最高级别组织失败

总体来说,对威胁管理和安全采取积极主动的态度

投入一流的人员、技术和流程

在组织与运营冗余的情况下进行24/7的告警监控

具有广泛地主动威胁预测与威胁猎捕能力

尽可能自动化进行威胁鉴定、调查以及响应流程

▼▼风险特征

极具韧性并且高效的合规状态

发现所有类型威胁并能快速响应

在网络攻击生命周期早期发现高级持续性威胁(APT)的证据,并能够战略地管理其活动

对所有类型的网络犯罪都具有很强的韧性

能够承受并且定于大多数极端国家级对手

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20211105A02IA200?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券