NSA：運營SOC的5大原則（含解讀）-創(chuàng)新互聯(lián)

NSA的網(wǎng)絡安全威脅運行中心（NSA Cybersecurity Threat Operations Center，簡稱NCTOC）相當于NSA的一個SOC，在CYBERCOM的配合下，用于對美國DOD的非密信息網(wǎng)絡實施安全運營。DOD的這張網(wǎng)絡遍布全球，時刻面臨著各種威脅，在NSA常年7*24*356的運營之下，總結了不少運營經(jīng)驗。NCTOC團隊面向運營人員，總結出了5大SOC運營原則：

1）建立可防御的邊界（Establish a defendable perimeter）DOD經(jīng)過多年的JIE（聯(lián)合信息環(huán)境）建設，連接互聯(lián)網(wǎng)的出口實現(xiàn)了大幅度的縮減，99%的進出Internet的流量都實現(xiàn)了僅通過很少的幾個網(wǎng)關來路由。如此一來，網(wǎng)絡邊界的可防御性得到了極大地提升，一方面極大降低了對手入|侵網(wǎng)絡的攻|擊面，另一方面還可以專心在這幾個出口集中進行威脅監(jiān)測。此外，可防御的邊界還意味著要綜合使用基于已知特征指標的、啟發(fā)式的和行為的分析方法，并將其運用到基于主機（端點）的和基于網(wǎng)絡的平臺上去，從而實時觀測和干預網(wǎng)絡活動。【解讀】結合筆者自身的經(jīng)驗，筆者認為對于防御而言，定邊界的確是一項很重要的前置性工作，不論這個邊界是物理還是虛擬的，是基于實體的還是基于身份的，是單層的，還是多層的，邊界可以虛擬化，但不能模糊化。此外，可防御的邊界還意味著盡量可控的攻|擊面，文中提及的是最基本（但不簡單）的對于大型企業(yè)而言的互聯(lián)網(wǎng)出口的歸口。而這也是為什么美國聯(lián)邦政府在實施愛因斯坦2之前先花了大量力氣去做TIC（可信互聯(lián)網(wǎng)接入）的工作的原因。對于DODIN也是類似，通過JIE的單一安全架構設計，在互聯(lián)網(wǎng)邊界大幅減少互聯(lián)網(wǎng)出口的數(shù)量和類型，并對所有戰(zhàn)區(qū)連入網(wǎng)絡的邊界進行的一體化網(wǎng)絡安全設計（部署JRSS）。
2）確保整個網(wǎng)絡的可見性（Ensure visibility across the network）對網(wǎng)絡流量的可見性和持續(xù)監(jiān)測必須貫穿網(wǎng)絡的所有層級，包括網(wǎng)關、中間節(jié)點和端點。如果在網(wǎng)絡中觸發(fā)了規(guī)則告警，分析師必須能夠精確定位并隔離產(chǎn)生告警活動的實際端點主機。這個過程必須在幾分鐘而不是幾個小時內產(chǎn)生效果。
此外，隨著越來越多的流量被加密傳輸，SOC必須對此構建一套解決方案，以確保能夠看見混入合法網(wǎng)絡行為中的復雜威脅。【解讀】我們說態(tài)勢感知，其實很基本的一個能力就是看見（Visibility）。這個幾年前國內就炒作過一輪了，現(xiàn)在反倒講的少了，但實際上，網(wǎng)絡安全對于看見的追求并未衰減。進一步地，什么是看見？從對象來說，不僅要看到流量和日志，更重要的是看到各種實體，尤其是網(wǎng)絡實體和端點實體，并要能夠將這些觀測數(shù)據(jù)整合起來。從內容來說，就是看到網(wǎng)絡中的各種實體的運行狀態(tài)，實體之間行為交互，區(qū)分出正常和異常的實體狀態(tài)及其行為，能夠識別出攻|擊入|侵和違規(guī)，并刻畫出它們發(fā)展變化的過程（例如攻|擊鏈）。從目標來說，看見不是目標，發(fā)現(xiàn)問題不是目標，看見只是手段，如何快速的響應和處置才是目標。在這個層面上，其實也擴展了“看見”的外延，即看見不僅是幫助運維人員發(fā)現(xiàn)問題，還包括協(xié)助響應者快速的處置問題。
3）強化最佳實踐（Harden to best practices）安全事件通常是由于網(wǎng)絡中更新不及時或者不合規(guī)的軟硬件的脆弱性導致的。此外，當一個漏洞利用被披露或者一個補丁發(fā)布后，NCTOC會在24小時之內掃描整個DODIN（DOD信息網(wǎng)絡），識別惡意行為體潛在的攻|擊目標（未打補丁的服務器）。
可以說，及時進行（補?。└乱廊皇荖CTOC大力提倡的最佳防御實踐之一，以此可以降低脆弱性的暴露面，并大化軟件的可靠性和保護能力?！窘庾x】這里所指的最佳實踐核心就是針對脆弱性管理、漏洞管理、補丁管理的實踐。這個問題其實是知易行難。NSA說的沒錯，但更需要指導的是如何做到。其實，我們看愛因斯坦計劃，前兩年，它們在講述建設成果的時候，主要的一個成果就是對于漏洞和漏洞利用的情報預警、共享，快速資產(chǎn)掃描和缺陷資產(chǎn)定位，以及打補丁的時間督查。想一想，花了幾十億美元的系統(tǒng)，實現(xiàn)了這個，值得還是不值得？做好漏洞管理難還是不難？
4）使用全面的威脅情報和機器學習（Use comprehensive threat intelligence and machine learning）在利用威脅情報前，建議先針對自身網(wǎng)絡環(huán)境對威脅情報源進行定制。譬如DODIN中的網(wǎng)絡威脅活動與醫(yī)療單位的可能有很大不同。SOC應該了解現(xiàn)有的防御性架構，判斷哪些資產(chǎn)對敵方是有價值的，并對威脅情報訂閱源進行相應地裁剪。
此外，面對海量的威脅情報和網(wǎng)絡活動告警信息的時候，SOC應該運用數(shù)據(jù)科學和機器學習的方法，將這些海量信息提煉為可行動的結果（Actionable Results）。安全團隊應該既能夠對現(xiàn)存的告警進行響應，還能夠對網(wǎng)絡中過去未能檢測到的威脅活動實施主動獵捕?！窘庾x】這點比較好理解，國內都談及的很多了。對于情報不必再求全，而要求準求精，注重有效性；對于AI/ML，已經(jīng)作為一種技術方法融入到了各種安全設備和系統(tǒng)之中。
5）營造求知的文化（Create a culture of curiosity）單純基于安全事件工單關閉的速度來衡量網(wǎng)絡安全可能存在誤導，使得響應者更關注于盡快處置告警，而不是去盡量完整地掌握攻|擊活動本身。在采取了一個新對策后，如何預測敵對方可能的反應，對于我方響應者而言是一個挑戰(zhàn)。因為持久化的敵對方會繼續(xù)探測進入其感興趣的網(wǎng)絡的入口，并不會因為一次攻|擊受阻就放棄。因此，SOC應始終努力采取先發(fā)制人的防御性行動，在他們的團隊中注入創(chuàng)新性思維，找出敵對方各種新的技戰(zhàn)術。
【解讀】所謂求知，也可以理解為好奇心。安全分析師只有保持好奇心，具有強烈的求知欲，才能做好安全工作，才能獲得個人能力的進階。這種好奇心/求知欲，可以通過威脅捕獵（Threat Hunting）得到集中的體現(xiàn)。而求知欲也意味著個人精力的巨大長時間的投入，是很累的一個事情，要保持下去很難，若再考慮到回報的話，則更是難上加難。進一步，如何激發(fā)并保持一個團隊而非某個個人的求知欲，又是一個大課題。最后，歸根到底，這里談及了安全對抗的一個核心本質——人。
作為一個SOC領域的從業(yè)人士，以上5點原則，與大家共勉。

成都創(chuàng)新互聯(lián)公司秉承實現(xiàn)全網(wǎng)價值營銷的理念，以專業(yè)定制企業(yè)官網(wǎng)，網(wǎng)站設計制作、成都網(wǎng)站建設，小程序開發(fā)，網(wǎng)頁設計制作，移動網(wǎng)站建設，成都全網(wǎng)營銷幫助傳統(tǒng)企業(yè)實現(xiàn)“互聯(lián)網(wǎng)+”轉型升級專業(yè)定制企業(yè)官網(wǎng),公司注重人才、技術和管理，匯聚了一批優(yōu)秀的互聯(lián)網(wǎng)技術人才,對客戶都以感恩的心態(tài)奉獻自己的專業(yè)和所長。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

文章標題：NSA：運營SOC的5大原則（含解讀）-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://bm7419.com/article4/gopie.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、網(wǎng)站排名、建站公司、小程序開發(fā)、品牌網(wǎng)站建設、云服務器

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)