实现有效的网络安全,SEIM和SOC显然远远不够!

自20世纪90年代以来,人们对于数据安全的态度发生了变化,与之相对的现实是,企业C级领导却始终未能跟上新威胁以及威胁传播方式的新思维和新变化。目前,即将登场的一个重大变化就是人工智能时代的到来。恶意软件是代码,很快地,攻击者就可以训练机器人编码器编写比人类码农更好的代码,这些代码不仅能够从环境中学习,还能不断调整其行为来逃避监测。与此同时,防御者也可以使用人工智能来监视异常情况,并采取相应的措施来缓解威胁。所以,未来应该是“机器人”与“机器人”之间的攻防大

自20世纪90年代以来,人们对于数据安全的态度发生了变化,与之相对的现实是,企业C级领导却始终未能跟上新威胁以及威胁传播方式的新思维和新变化。

目前,即将登场的一个重大变化就是人工智能时代的到来。恶意软件是代码,很快地,攻击者就可以训练机器人编码器编写比人类码农更好的代码,这些代码不仅能够从环境中学习,还能不断调整其行为来逃避监测。与此同时,防御者也可以使用人工智能来监视异常情况,并采取相应的措施来缓解威胁。所以,未来应该是“机器人”与“机器人”之间的攻防大战。

在短短20多年内,我们要从密码破解转向机器学习和训练AI,以及实现黑客攻击过程的工业化,也就难怪人们很难跟上威胁发展的步伐了。

在N Brown公司,身为IT安全专家的Mike Koss实施了Darktrace,这是一种使用机器学习(ML)来识别和预防未知威胁的防御解决方案。

在Koss看来,机器学习的美妙之处在于,随着时间的推移,它将学习你的数据集,只要模型是好的,其容量越大就可以训练得越好,所以它就是一个“即插即用”的插件。

这些工具会越来越多地进行干预,而不仅仅是报告。但是,与其他任何工具一样,基于机器学习的防御,其实际防御效果取决于其具体的使用方式。

以Darktrace为例,如果你使用Darktrace并且只用其监控传入和传出的互联网管道,那么你将无法可视化组织的其他部分,而Darktrace也只能学习你所提供的这部分数据,无法学习和识别其他部分的数据。

虽然积极的机器学习防御可以帮助缓解技能差距,但在自治系统(autonomous systems)被信任以保持网络安全之前,还需要很长一段时间。与此同时,还需要一系列技能。在我们能够于该方面取得持续进展之前,人们将会非常紧张地将它们置于无人监督的模式之下。

充满激情的员工

教育系统中培养出了太多技能组合较差的从业者,因为专业化往往都是用大量资金累积起来的。就像仅监控系统某些部分的工具一样,过多的专业化可能会导致覆盖面缺失。但请记住,防御方面的缺口正是攻击者梦寐以求的攻击入口。

对于一个有效的团队来说,更重要的是要具有热情、工程思维和“迎难而上”态度的通才。

之所以强调“通才”是因为,如果你不训练他们成为所有领域的通才——能够编写恶意软件,能够分析恶意软件,能够查看网络包并弄清楚为什么某个连接是来自某个位置的——那么你将会留下缺口。

此外,真正富有激情的人,才是有效的网络安全团队所需要的人。试想一下,如果你的安全人员全都在下午5点准时下班回家,我想你的公司可能也就要完蛋了。

当然,拥有激情并不意味着你必须成为一名黑客。这种激情可以表现为“熬通宵为SNORT(一个入侵检测/IDS工具)编写规则”、“完成了很多C语言编程”、“调试了很多代码”或是“创建完成了某样工具”等等。

优秀的候选人并不一定要非常具有技术性,但他必须具备这种激情。

网络运营中心(NOC)和安全运营中心(SOC)分析师

除了对学习充满激情的通才和更专业的分析师外,你还需要一位优秀的领导者。这些也很难找到,并且通常代价高昂。此外你还需要某种体系架构支持,例如安全运营中心(SOC)以及安全事件和信息管理(SEIM)。然而,就像其他专业的安全解决方案一样,它们也会产生一种虚假的安全感。

虽然安全运营中心(SOC)以及安全事件和信息管理(SEIM)可以像日志源一样发挥很好的作用,但是许多组织实际上并不知道这些数据是什么,它们来自哪里,它们有多少,以及它们实际需要投入怎么的努力才能获取成果。

SEIM和SOC可能会非常危险。你的分析师和安全团队可能会忽略部分警报内容,因为他们每天都会收到5000多条有关“密码登录失败”或“来自未知来源的端口22访问”等方面的警报信息。所以,你必须对SEIM和SOC进行调整,以提升整个团队的响应质量和效率。

此外,也不可将网络运营中心(NOC)和安全运营中心(SOC)混为一谈。这两者之间的相似性通常会导致一个错误的观点,就是彼此可以很轻松地处理相互之间的任务。但事实上,二者的职责存在细微的差别,但也是本质的差别。可以肯定的是,二者都负责识别、调查、确定优先级顺序以及逐步解决问题,但问题的类型和所产生的影响是不同的。其中,NOC主要负责处理影响性能或者可用性的事件,SOC则处理影响信息资产安全的事件。

此外,两者的目标虽然都是管理风险,但是完成这个目标的方式却明显不同。NOC的工作要符合服务水平协议(SLA),并且以减少宕机时间的方式管理事件,话句话说,就是关注可用性和性能。SOC则度量他们保障知识产权和敏感客户数据的能力,关注于安全。

另一个NOC和SOC不能混为一谈的原因在于,二者所需要的技能集合完全不同。其中,NOC分析师必须精通网络、应用和系统功能,SOC分析师则需要安全工程技能。

所以,建议组织不要让SOC和NOC相互处理彼此的任务。如果组织只有SOC,那么建议组织可以从外部寻求NOC专业服务(外包),反之亦然。千万不要让NOC分析师处理SOC任务,反之亦然,因为它们是两个非常不同的领域。

  • 发表于 2021-04-03 15:24
  • 阅读 ( 409 )
  • 分类:互联网

0 条评论

请先 登录 后评论
孤独剑客
孤独剑客

2668 篇文章

你可能感兴趣的文章

相关问题