制定 SOC 数据策略时要跳出思维局限

先进的安全威胁应对方法需要不断进化的解决方案 威胁环境在不断演变，高级威胁的影响也在不断增加。在Unit 42®调查的案件中，2023年勒索软件事件数量增加，成为有记录以来第二高的年份。1在过去的一年里，Unit 42的事件响应(IR)案例工作中有近35%涉及某种业务中断。2在许多涉及恶意软件的案件中，还使用了勒索软件。随着勒索软件事件的激增，数据盗窃、多级勒索和骚扰事件也随之增加。虽然这并不是什么新战术，但这种增长表明，威胁参与者越来越将其视为可行的策略。3 威胁参与者的技更加成熟。他们的组织更加严密，有专门的小组负责攻击的不同部分。威胁参与者的知识更加丰富，可以利用信息技术、云计算和安全工具作为进攻武器。他们通常利用免费获取的零日漏洞来获得初始访问权限，而且效率更高，使用流程和脚本更快地实现目标。 Unit 42调查的涉及云资产的案件，从2021年的6%上升至2023年的16.6%。4 安全运营中心(SOC)团队在努力保护组织的同时，也面临着越来越大的压力。其众多安全工具产生的大量安全警报成为主要问题：75%的组织表示难以应对警报的数量和多样性，79%的组织表示由于缺乏技能或高级分析能力，其一级分析师不得不升级处理比预期更多的警报。5 攻击者的数据外流速度也在加快。2023年，从入侵到外泄的中位时间为2天，而2021年为9天。6在2023年，Unit 42调查的45%的IR案例中，攻击者在入侵后不到一天的时间内就外泄了数据。7 在Unit 42处理的一个勒索软件案例中，攻击者在不到14个小时的时间内就侵进入了一个组织，外泄了TB级的数据，并向近10,000个端点部署了勒索软件。 您的SOC将如何应对这些挑战？当前的解决方案常常失败，因为孤立的系统导致难以有效地利用所有可用的数据，从而导致安全漏洞和错过的洞察。 另辟蹊径。 然而，在人工智能和自动化技术的帮助下，安全小组能够获取所需的洞察，将大量警报压缩为可操作的事件，并利用数据阻止未来的威胁，而不仅仅是调查过去的事件。 数据基础架构：现代SOC的基础 遥测数据是安全操作的生命线。SOC基础设施收集整个安全和IT资产的数据。这种数据收集基础设施有多种用途，包括为无处不在的活动添加背景信息，以及丰富从检测到调查、缓解和响应的整个安全操作生命周期。 SOC如何收集、存储、预处理和使用遥测数据直接影响其运营模式和效率。然而，采用检测优先的安全分析(SA)系统，使用新的数据建模方法和数百种强大的开箱即用的用例，可以提高检测准确性，更好地利用技术和人力资源，并改善分析师的体验。 检测工程：您的组织为过去、现在和未来做好准备了吗？ 威胁追踪包括主动查找组织内部的威胁，搜索可疑和恶意行为——通常是人为的。许多SOC在很大程度上依赖初级检测技术来追踪威胁（例如，那些纯粹基于原子入侵指标[IOC]、第三方信息源或公开信息的检测技术）。因此，这些组织可能只能开发基本的检测用例或手动调整现有用例。 为了提升威胁追踪能力，开发出对企业至关重要的检测工具，最好的办法是集中精力发挥自身优势。在这方面，有三个基本原则需要考虑： 1.使用武器库中的所有工具 详细分析和威胁追踪依赖于良好的取证和遥测技术，这就要求：您所在组织是否使用了所有可用的安全相关数据？如果使用了，它是否将这些数据转化为有用的见解？您的遥测数据必须具有包容性和可操作性。它应包括所有可用背景信息，从机器和进程级数据（如进程执行详情、文件读取、内存读取等）到更广泛的组织背景信息，如用户的地理位置和访问凭证。 与此同时，依靠数据收集装置将最广泛的遥测数据转化为可操作的情报，可以实现更广泛、更准确的检测。 2.拥抱“不要对违规掉以轻心”的思维模式 在审查公司的安全态势时，要考虑代理、防火墙、电子邮件网关和预防工具是否提供了防不胜防的安全套件。随着攻击者变得越来越狡猾，并找到了躲避防御的方法，许多成熟的SOC操作都失败于这一假设。此外，安全漏洞的种类繁多，而且还在不断扩大。它涵盖了漏洞、非托管的设备、盲区以及禁用或修改安全工具的方法。在这种情况下，强调检测能力的“不要对违规掉以轻心”的心态是最大限度降低组织风险的最佳策略。 预防为主的方法可确保各组织积极主动地执行所掌握的最佳网络安全实践。不仅在紧急情况下，持续实施最佳实践也至关重要，包括清楚地了解外部、内部和一般攻击面，分层采取预防措施，并保持主动警惕。 3.检测工程不应是手工作业 检测工程师会花费大量时间处理专业任务，例如应用自动化技术或编写检测逻辑，以识别与安全相关的事件。在编写检测规则时，工程师可能会尝试通过放弃基本规则（如基于简单IOC、工具、PowerShell命令等的规则），转而针对完整的对手行为和技术，以提高准确性，从而尽量减少误报。然而，这涉及到逆向工程、能力抽象和深入研究等复杂任务。 鉴于所有这些复杂性，您所在组织必须提出以下问题：您的工程师是否应该将时间花在更有价值的地方，而不是持续维护现有检测、紧跟新威胁和定义对您的业务准确且相关的新规则？ 开箱即用的安全分析方法 安全分析平台旨在捕捉和放大信号，以生成高保真警报并发现行为模式，从而加快事件分析、调查和响应流程。通过监控实体和用户，安全运营人员可以使用SA来处理许多用例，包括合规性、警报和响应。 尽管在SA方面做出了努力和投资，但许多SOC仍受到误报率高、需要维护的点解决方案过多、覆盖范围有限等因素的影响，因此安全投资回报率很低。 重新评估安全分析的三大支柱 丰富的数据集：SOC正试图依靠第三方数据（包括来自不同安全解决方案的日志和反馈）来破解检测难题。但这是否会产生足够广泛的遥测数据？除了导致威胁追踪范围受限外，引入日志和普通来源还会给SOC团队带来额外的维护开销。与其追踪第三方日志，不如扩大覆盖范围，从源头捕捉数据。这样，您的检测逻辑就可以依靠为本地分析构建的功能丰富的现有数据集。 SA解决方案：检测用例是SOC分流和警报功能的基础。检测用例植根于数据，而数据覆盖范围的限制严重制约了其有效性。要涵盖最广泛的可处理用例列表和最广泛的威胁场景，就必须依靠丰富的数据集，而只有从头开始构建的SA解决方案才能提供这些数据集。 人工智能：检测工程师不断创建、维护和更新检测用例（或检测器）。人工制作和更新探测器需要花费时间和精力。相反，人工智能有可能自动学习你所处的环境，并自动调整这些探测器。手动微调单个检测规则以尽量减少误报是不可行的；这正是人工智能可以提供帮助的领域。 让机器为您的SOC团队完成繁琐的琐碎工作，这样您的专家就可以集中精力解决机器无法解决的问题。 那那那开箱即用的SOC的样子。 集中化、自动化、敏捷：理想的安全分析系统 现代SA系统应具备强大而广泛的数据收集能力，以突破数据孤岛，更好地进行检测。它必须具有高度可扩展性，以适应您所在组织以及影响您的安全状况的变化。它应该应用人工智能来跟上新攻击的步伐，并根据不断变化的行为基线进行自动调整。 此外，允许一个集中敏捷的分析系统将可视性扩展到整个IT产业，对于克服孤立、短视的点解决方案的局限性至关重要。您无法根据端点或云实例等单一实体的分析结果来检测和预防高级威胁。因此，您的SA系统应该能够从几乎所有安全解决方案中收集所有可用的遥测数据。这样就可以根据多阶段攻击技术（转储凭证、入侵端点、横向移动等）识别高级威胁。 Cortex Analytics：核心概念和架构 Cortex®Analytics可快速获取所有可用数据源，包括EDR、身份和访问解决方案、网络安全、网络流量分析、SaaS等，而无需考虑供应商。获取的数据会自动规范化，因此使用同一系列的一个或多个数据源都没有关系。Cortex Analytics可以在所有这些系统之上运行，利用相关性实现定制分析并扩大覆盖范围。其高度可扩展的SA设置利用了云计算的强大功能，可轻松与第三方供应商集成并持续自动更新。 Cortex采用人工智能并大规模利用自动化能力。Cortex采用有监督、无监督和半监督人工智能算法，并结合人员参与(HITL)来监控分析结果并确保无误。该系统采用统计推理来适应环境、自动调整并生成高保真警报。 Cortex Analytics数据管理层收集的见解将直接传输到基于Google的数据仓库基础功能构建的高度可扩展的云中。该数据管理层可自动、持续地对所有遥测数据（包括来源和日志）进行规范化处理，以创建有意义的“故事”，为分析师的调查提供依据。Cortex Analytics通过识别和拼接与同一活动相关的来源，将不同的遥测数据合并为一个高保真事件。 Cortex Analytics可为环境中的各种元素创建配置文件。配置文件是与安全事件相关的所有对象（进程、服务、域、IOC、DNS信息等）有关的一组统计数据。配置文件中包含的统计示例有：域流行度（例如，过去30天内与给定域通信的源设备数量）；实体间关系，从简单的父子流行度（衡量过去30天内父子进程关系中观察到的端点数量），到更复杂的关系。 Cortex Analytics使用配置文件作为构建模块，创建用于实体分类的角色。角色是一个有限的模型，用于标识实体，如域、用户、主机等。这些模型是任何智能检测逻辑的基石。角色的设计目的是通过将多种检测逻辑分解为有意义的实体集（如域控制器、服务账户、管理员账户等），帮助降低告警噪声。 最后，Cortex Analytics可根据其专用用例或检测器提供结果。检测器是一种旨在识别攻击者使用的特定技术的模型。它利用配置文件和实体分类，并建立一个可最大限度减少误报的逻辑，对可疑事件发出警报。例如，端口扫描检测器会关联多个网络事件，利用配置文件、角色和基线，并过滤已知扫描器，仅在发现恶意实例时生成告警。 Palo Alto Networks团队拥有超过250名威胁研究人员，利用人工智能和数据科学方法，为客户环境自学习构建、验证并动态更新大量检测规则。如果没有这些功能，每个环境都需要专门的研究人员来调查、了解和调整，从而导致探测器数量极少。相反，Cortex利用人工智能和自动化的力量来处理这些工作，而您训练有素的专家则可以将研究重点集中新的覆盖范围和问题上。 Cortex Global Analytics：识别供应链攻击，防患于未然 为了识别和测量新型攻击所带来的影响，Cortex Analytics从多个环境中收集分析见解，比较数据和行为。民族国家威胁参与者以及情报和网络安全威胁参与者不会发动明显的全面攻击。为了做好准备，我们必须像他们那样思考和预测。 为了高可信度地检测新型严重攻击，Cortex Analytics从每个独立部署中进行本地学习，并基于来自超过65,000个客户的实时数据进行全局学习。每个受监控的已签名进程都会持续收集并上传该进程行为的高度详细且特定于操作系统的底层数据。利用Cortex Analytics对这些数据进行分析，每天为每位客户生成配置文件。这些配置文件存储并了解每个已签名和受监控应用程序在每个端点上的行为方式，包括： •访问了哪些域名和IP地址？•使用了哪些协议、参数和端口？•它在哪里以及如何注入线程？•动态加载了哪些模块？•它们的哈希值是多少？•他们的签名者是谁？ 有些地方比其他地方更难攻破。随着威胁参与者对其方法进行微调，网络安全防御也必须进行微调。Global Analytics可在威胁参与者进入目标环境的最初几步就对其进行检测，因为他们执行的可疑操作非常少。 Global Analytics Enablers •持续收集EDR事件：Cortex XDR代理可持续收集事件并上传到云端，即使没有检测到任何恶意事件也是如此。•高度详细的EDR数据：在所有受支持的操作系统中，发送到云端的数据详细度都是独一无二的。 •事件跟踪和丰富：Cortex XDR代理可持续跟踪并丰富上传到云端的事件，跟踪用于破坏因果关系上下文的各种攻击技术。•庞大的企业客户群：Cortex XDR庞大的客户群为各种应用提供了大