股票簡稱:奇安信 股票程式碼:688561
如何購買 7*24小時應急響應 +86(10)57836300 中文-繁体 登入 註冊
奇安信集團
首頁 > 企業動態 > 公司新聞 > 威脅情報驅動:更靠譜更聰明的“CEO”NGSOC

企業動態

威脅情報驅動:更靠譜更聰明的“CEO”NGSOC

釋出日期:2018-11-29 作者:奇安信

分享到:

在一個複雜的網絡環境內,SIEM或者SOC平台的應用非常普遍,畢竟企業需要看清楚自己的網絡資產、安全設備和各類數據,就需要有一個“CEO”把它們統一管理起來,處置日常事務


這個CEO並不十分“靠譜”

如果一個企業花費重金請了一個職業經理人來當CEO,那麼這個CEO應當有能力從容處置公司的日常事務,並做出對公司發展有利的決策。同理,一個企業花費重金部署SOC,也自然希望它在一定程度上起到網絡安全神經中樞的作用。

然而,實際情況卻總是和人們預想的有一些偏差。

第一,誤告警總是難以應對。作為一個威脅感知中心,SOC對誤報率有着相當高的要求。當大量的日誌數據、行為數據被引入的時候,其規則引擎會產生大量的噪聲,這會白白消耗甲方安全團隊的精力,導致真正的威脅被忽略掉,甚至,SOC會因為無法處理如此多的數據而癱瘓掉。

第二,未知威脅總是難以發現。之所以持續的檢測和響應非常重要,就是存在太多的未知因素。當攻擊者利用零日漏洞和新鮮的攻擊手法,規則引擎就難以發現和識別。

第三,攻擊總是難以研判。安全人員通過SOC的告警發現失陷主機或者遠控木馬後,往往試圖找到攻擊行為背後的攻擊者,瞭解攻擊者的攻擊企圖、常用工具、技術和攻擊手法等,以評估來自攻擊者的安全風險,並採取有針對性的防範措施。但在缺少威脅上下文相關數據的條件下,這一點也很難做到,更不要説自動化響應處置了。

很顯然,如果這個CEO無法應對公司大量的日常事務,對於市場發展和危機缺乏預見性,對突發事件感到束手無策,那麼這個CEO肯定難免被炒掉。同理,很多企業多數時候也會對自己花費重金購買的SOC感到有些失望:如果想要SOC持續工作,他們必須要投入大量的時間和精力,還要謹防SOC“罷工”。

NGSOC與威脅情報

2016年,在Gartner發佈的十大信息安全技術裏提到了情報驅動的安全運營中心,他們認為情報驅動的SOC超越了傳統的預防工具和以事件為基礎的監測,強調情報關聯和自動化的響應處置。

Gartner總結了它的五大特徵:

在戰略和戰術上運營威脅情報;通過高級分析將安全智能落地;極盡所能地實現自動化;捕獵和調查(偵查與獵取);部署自適應安全架構。從這五大特徵來看,假如情報驅動的SOC能夠落地的話,的確可以彌補傳統SOC的不足。

同年9月,奇安信發佈了NGSOC,利用大數據、威脅情報突破傳統SOC面臨的瓶頸。引入關聯性強、上下文體系完整的威脅情報後,企業將從關注單一威脅告警變為更加關注威脅目標、攻擊手法、路徑等技術指標、決策依據等全方位數據,從而通過威脅情報驅動來進行高級威脅的發現,驗證疑似攻擊,輔助安全協同並輔助決策。

具體而言,威脅情報在NGSOC中的應用包括以下兩個部分:

第一,檢測。來自補天威脅情報中心的威脅情報將自動發送到NGSOC中進行警報,並將來自NGSOC的特定事件,協同威脅情報信息來進行關聯分析和數據挖掘,從而檢測出威脅並在網絡中進行定位,安全人員可以鎖定失陷主機、遠控木馬或者其他惡意文件的所在位置。

第二,研判。當安全人員通過SOC告警發現威脅後,可以利用本地全量的網絡和主機行為日誌,並且結合威脅情報進行深入的調查,利用搜索、統計、可視化關聯等方法和技術,找出與攻擊者相關聯的更多蛛絲馬跡,從而拼湊出攻擊者完整的行為鏈條,做出有針對性的防禦措施。

當然,實現這兩點的一個重要前提是需要保證高質量的情報,否則噪聲等問題依然會出現,説白了就是需要底層強大的數據能力作為支撐。除了100億+樣本庫、100億+DNS解析記錄等雲端海量的數據外,NGSOC最重要的特點之一就是本地全量數據的採集和分析,並從中分析得出失陷主機、文件信譽、IP等威脅情報。

同時,為了解決傳統SOC面臨海量數據時的性能瓶頸,NGSOC採用了可靈活水平擴展的分佈式架構,數據採集使用分佈式採集探針,可根據採集數據量和網絡拓撲的需要來靈活增加探針的數量,數據存儲和分析系統亦可根據需保存的數據量和計算資源需求,通過增加節點的方式進行靈活水平擴展。

這也就是説,NGSOC在結合威脅情報以後,可以有效地降低設備噪聲,提高未知威脅的發現能力並且實現自動化的應急處置。

客户實踐:精準跟蹤惡意行為

在服務企業客户的過程中,某大型央企希望針對總部2000台終端主機做全方位的安全監控和預警。奇安信需要部署一定數量的流量傳感器和探針,分別用於採集企業內外網流量交換情況和各終端日誌情況。

安全人員在處理NGSOC日常告警時發現,客户內網某IP存在違規訪問惡意域名的現象。通過與威脅情報上下文信息比對發現,該樣本屬於一種特定的勒索木馬,從而快速判定了攻擊意圖。安全人員通過調查分析功能找到了所有受害終端,並且能夠對該終端做持續的檢測和響應。

從這個案例中可以清楚地看到,情報驅動的SOC為警報和事件添加了情景和關聯豐富的上下文,能夠幫助企業更加快速、精準、全面地掌握風險所在,對企業日常的安全檢測和響應有着非常大的作用。