从追逐警报到捕获威胁：有效SOC的进化

无论被称为SOC、CSOC(计算机安全运维中心)、网络防御中心还是别的什么东西，安全运维中心(SOC)的根本使命都不会变——帮助企业检测、分析、响应、报告和预防网络安全事件。不过，随着威胁态势不断改变，怎么有效做到这一点也发生了变化，分析师及其所依赖的技术身上的担子也更重了。

很多SOC采取的是反应式方法，提供一套包括日志管理、实时监视、事件响应和调查在内的标准服务。他们使用传统的SIEM(安全信息和事件管理)，从内部源收集日志数据，进行关联，以简单实时的基于规则的分析来检测已知威胁。只要触发警报，他们就介入调查。一段时间里，这种水准的服务就足够了。但随着攻击越来越复杂，很明显有很多恶意行为都躲过了监视且没有产生明显日志数据，比如零日漏洞攻击和针对性恶意软件。这意味着传统攻击检测已经不再那么有效了。

由于成功数据泄露事件数量持续增长，且攻击者持续数周、数月甚至更长时间不被检测到，如今仅仅调查警报已经不够了。SOC分析师们很清楚不可能检测和封锁所有攻击的事实，他们必须采取积极的方式来保护公司资产，找出活跃威胁和被入侵系统。威胁捕获的重点，在于积极找出进入到网络中的威胁。这需要对可能被入侵系统的深入检查及查阅大量历史数据，以找出传统警报机制没有识别出的恶意活动。

投入威胁捕获

威胁捕获行动涉及一系列工具和技术。如果发现潜在数据泄露的证据，可以调查该系统以确定发生了什么、怎么发生的、是否有其他系统受到影响等，以便能够遏制和缓解攻击。然而不幸的是，人工捕获行动投入大产出小，耗费大量人力物力，却只有有限的机会可以查出东西。即便找出之前忽视掉的问题令人十分振奋，如果缺乏恰当的技术对之做出处理，那也只会是时间和金钱的浪费。

幸亏安全分析技术和威胁情报的发展，有助于充分利用捉襟见肘的分析师资源，开展更有效率的行动。这些技术提供帮助的方式有两种：将捕获集中在更有可能被泄露的资产上，以及重评估已发生事件以揭示最新威胁情报。

捕获被侵入系统

如大多数SOC分析师所知，很多情况下你是从普通员工报告‘某某系统有点不对劲’，而不是通过SIEM警报，来得知攻击的发生。高级攻击经常能避免触发明显警报，但仍会留下有东西出了差错的证据。被侵入的系统则会表现得与平时不一样。但依赖人工来发现非正常活动是不够的，而且跟不上当今的威胁态势。

高级分析大显身手之处正在于此。对潜在被侵入系统的积极发现和深入调查需要时间、精力和技术——这三样东西对绝大多数企业而言都是非常珍贵的。高级分析能基于发现异常来辅助识别捕获区域。突然偏离日常基线的系统，可能就正在运行新的未知进程、向不受信网络发送大量信息，或者与正常业务范围以外的地方进行通信。这些异常可能是无辜的，也可能指向潜在的被侵入系统。为发现此类异常，大多数成功捕获行动会从几种分析的综合运用开始：统计分析以识别出离群值，机器学习算法以评估这些离群值，判断是否与已知恶意行为类似。基于这些分析，具备较高被侵入概率的系统会被标识出来，进行后续深入彻底的调查。

重新评估过去

威胁捕获还包括通过检查历史数据找出可能被忽视掉的威胁。为克服传统SIEM的限制，威胁捕获采用基于大数据的新平台，来采集、管理和分析来自各种内部外部源的大量历史数据。在第一轮实时分析可能会错过什么东西的场合，可以使用大数据系统来检查可能的大量日志储备和其他可用数据源。通过采用最新威胁情报来重新分析，可具备重评估数据的能力，得到后见之明的好处。比如说，根据时下掌握的信息，通向命令与控制(C C)基础设施的潜在恶意连接，有可能没被注意到。将更新过的威胁情报与网络通信历史元数据做对比，分析师就可能回顾性地发现攻击。

无论是积极找寻被侵入系统，还是重评估过去事件，目标都是增加捕获行动成功的可能性。大数据平台;实时全球威胁情报;再辅以基于规则的、统计的机器学习分析，分析师肩上的担子便能被有效减轻。为达成更具成效的捕获探索，这些技术必须协同使用，并融进分析师对所处环境的洞见和知识。具备了从追逐警报到捕获威胁的转型能力，SOC便能进化得在面对高级攻击时更加积极主动，更有效。

作者：佚名

来源：51CTO

人工智能地震监测系统上线：2秒报出地震参数 近日，由中国科技大学与中国地震局合作研发的“智能地动”系统项目组宣布：利用该人工智能地震监测系统，仅需要1—2秒时间就能报出所有地震震源参数，引起业内广泛关注。
从追逐警报到捕获威胁：有效SOC的进化 本文讲的是从追逐警报到捕获威胁：有效SOC的进化，无论被称为SOC、CSOC(计算机安全运维中心)、网络防御中心还是别的什么东西，安全运维中心(SOC)的根本使命都不会变——帮助企业检测、分析、响应、报告和预防网络安全事件。
高危预警！移动设备安全面临的5大新型威胁 本文讲的是高危预警！移动设备安全面临的5大新型威胁，十年前，移动恶意软件还被认为是一种新的可怕的威胁。许多移动设备用户甚至心存侥幸地认为自己可以免遭这种威胁侵害。但是根据迈克菲实验室（McAfee Labs）的研究数据显示，仅在今年第一季度就发现了150万起新的移动恶意软件事件，截至目前共发生了超过1600万起移动恶意软件事件。
报告 | 威胁捕捉成为安全领域新黑马 本文讲的是报告 | 威胁捕捉成为安全领域新黑马，系统网络安全协会近期发布的研究显示，威胁捕捉(Threat Hunting)可帮助机构尽早甄别并消除网络漏洞，它现在已成为企业安全的新的趋势。
IXmaps揭示互联网流量是否被NSA监视 本文讲的是IXmaps揭示互联网流量是否被NSA监视，该地图显示了NSA监听站、谷歌数据中心，以及更多机构的全部位置。
检测内部威胁比想象中简单 本文讲的是检测内部威胁比想象中简单，内部威胁指的是公司内部员工，但入侵者却不再仅仅局限于身处公司大楼内部的人。甚至本地咖啡馆这种公共场所，都能连上公司网络。
关于物联网设备安全漏洞引发大规模网络攻击事件的通报 本文讲的是关于物联网设备安全漏洞引发大规模网络攻击事件的通报，近期，互联网上披露了有关“大量物联网设备存在弱口令漏洞”的相关情况。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！