威胁情报在SOC中的价值

原创星云数世咨询

越来越多的组织在加入网络威胁情报的大军当中——不仅仅是威胁情报的使用者，还是提供者。同时，根据SANS在2021年的网络威胁情报调查（戳阅读原文看报告）对自身威胁情报有效性进行评估的企业数量，也从受访的4%提升到38%。

但是，在集成、自动化、以及威胁情报运营化方面的应用依然较少。该报告也指出，安全团队在自动化层面更依赖于SIEM，一定程度上也说名了威胁情报在这些领域比较落后的原因。SIEM的存在已经有十几年，目的是通过取代人工关联日志，通过将多个供应商的技术标准化并发出警告，来识别可疑的网络活动。SIEM从一开始就不是服务于完整的威胁情报管理，或者从EDR、NDR、CDR等安全工具集成海量数据。

SOC的核心一度是SIEM，但是随着SOC的功能开始偏向于检测和响应，核心也在改变。检测和响应能力并不是单一工具所能实现的，而是要延伸到整个生态系统；因此，SOC需要的是一个能集成多种来自内部和外部的威胁以及事件数据源（包括SIEM），以及支持和传感元的双向集成能力。拥有这种能力的平台，才是加速安全运营，并保障现代SOC完成自己使命的核心。

我们可以以SolarWinds的泄露事件为例，看一下这样的平台能起到些什么作用。

当SolarWinds事件登上头条的时候，全球的安全团队遭到了他们领导团队的问题轰炸：我们知道哪些关于这次泄露的信息？我们被波及了吗？如果被波及了，我们能怎么降低风险？如果没有被波及，我们能做些什么加强防范？各种来源和形态的信息，以及防护手段充斥了整个安全社区，包括新闻报导、博客、安全行业报告、MITRE ATT&CK技术框架、威胁信息的IoC、GitHub代码库、Yara和Snort等等。但是，理解手头信息的具体内容同样重要。在当前的组织环境、技术栈、网络结构和风险概况下，最相关、最优先的信息应该是哪些？

首先从检测开始。安全团队需要快速理解威胁、调查影响、然后决定采取什么样的措施。通过平台自动化收集、统一化并复制来自各种来源的数据——无论是结构化的还是非结构化的、内部的还是外部的，可以生成一份已知信息的信息库。将事件关联，并且将内部的环境的指标（包括来自SIEM、日志管理库、事件管理系统和安全架构的数据）和外部的数据（包括外部指标、攻击者信息和攻击方式）进行联系，形成对攻击者、攻击目标、攻击来源、攻击时间、攻击原因和攻击方式的理解。然后，基于指标来源、类型、属性、内容，以及攻击者属性的参数，修改风险系数以及威胁情报优先级；从而过滤走信息噪音，并着重于对于企业真正重要的情报，而不是浪费时间和资源去捕风捉影。

检测之后就是响应的工作了。在有上下文关联的情况下把握住攻击的整体情况后，安全团队可以让数据成为他们架构以及运营的一部分，并且能够灵活地在手动、自动以及混合模式中切换。他们可以思考组织中哪些其他人也需要能够看到并理解这些数据，比如网络安全团队、威胁情报分析师、威胁猎手、犯罪调查人员、管理层等等，然后进行恰当地分享。安全团队能将数据导出给现有架构，让架构中的技术在低误报的情况下更高效地运作；同样，安全团队还能将数据回传给正确的工具，生成并应用升级后的策略和规则减缓风险。

在事件发生后的数日、数周和数月，安全团队继续通过平台，在收到新数据、信息和观测的情况下，持续自动化地重新评估情况并修改相关优先级。包括可以用于创建黑名单或者应用签名的战术情报，到具体使用技术和工具的运营情报，以及识别潜在威胁份子以及他们目标的战略情报。安全团队能够通过这些情报，确保他们自己的优先级并有问题，并且能够更快发现事件，做出更有效的决策。

在一个有集成能力、自动化能力和情报运营化能力的现代平台加持下，安全团队可以到达威胁情报项目的新高度，包括评估检测和响应效果的正反馈情况。鉴于SOC正在逐渐成为检测和响应的部门，有效的评估模型会是最为重要的业绩展示。

数世点评：

当人们逐渐意识到，安全是无法完全依靠阻断保护企业的时候，检测和响应的价值就显得无比重要——越早发现，越快采取正确的行动，损失就越低。因此，SOC逐渐向检测和响应转移也就不足为奇。但是，精准的检测和正确的决策离不开有效的情报信息，那威胁情报在SOC中被使用也就水到渠成。但是，企业在对威胁情报的应用过程中，依然要考虑到威胁情报和自身的相关性、集成能力以及自动化能力等因素。

关键词：威胁情报；SOC

▶ 相关文章