XDR、IT、OT、ICS 集成：安全运营中心演化的下一个方向

本文作者 isaca

网络安全威胁正变得日益复杂，组织日趋严密且资金充沛。人工智能（AI）工具和技术的广泛采用将导致定制化的、高影响力的网络攻击。应对此类攻击的复杂性和精细化需要充分授权的安全运营中心（SOC）。

安全运营中心是容纳网络安全专业人员的设施，负责实时监测和调查安全事件，利用人员、流程和技术的组合来预防、发现和应对网络威胁。

安全运营中心负责监测和保护组织的资产，包括知识产权、保密/人员数据、业务系统、关键基础设施和品牌声誉，使其免受网络安全威胁。安全运营中心是组织的眼睛和耳朵，当可疑或异常的网络安全事件发生时发出警报，其能迅速作出反应，以减少对组织的影响。由于安全事件的不利影响，组织正在寻找方法来改善安全运营中心，以降低风险敞口，并维护资产和数据安全。

了解安全运营中心的演变并进行成功构建，可以大幅增强检测和破坏网络攻击的能力，保护组织免受伤害。

安全运营中心的演变

在过去，传统网络运营中心（NOC）将重点放在意外事件和响应上，以可用性为主要目标。NOC的主要职责是网络设备管理和性能监测。

如图1所示，最初，安全运营中心是为政府和国防组织实施的。早期安全运营中心的主要职责包括处理病毒警报、检测入侵和应对意外事件。2000年后，大型企业和银行开始实施类似的监测业务。

信息安全管理标准发布于2005年，合规被加入至安全运营中心的目标中。动态数据包过滤防火墙、反垃圾邮件和漏洞管理以及入侵预防被添加到监测和响应中。

2007年至2013年是安全运营中心进化的黄金时代。许多对安全监控至关重要的关键安全解决方案，如数据泄漏预防（DLP）和安全信息与事件管理（SIEM），都是在这个时期进入网络安全生态系统的。在此期间，高级持续性威胁（APTs）的数量开始急剧增加，在2010年至2011年增长了81%。而安全运营中心在检测和预防这些威胁方面发挥了主要作用。日志汇总、监管合规、恶意软件分析和DLP是那个时代安全运营的主要目标。

针对IT和安全运营的管理型安全服务提供商（MSSPs）应运而生。作为一种共享模式，管理型安全服务并非专门为单个组织或实体服务。MSSPs最初由大型企业采用，然后最终被感兴趣的中小型组织采用，以满足其组织安全运营的要求。

在安全运营中心的发展过程中，下一代SIEM进入了安全生态系统和运营之旅。SIEM也被称为用户行为分析（UEBA），它基于人工智能（AI）的子集机器学习（ML）。

企业在现有的SIEM技术上部署UEBA，以减少误报。SIEM是一种基于规则的技术，其在为规则设置的逻辑和阈值之上工作。阈值参数是SIEM技术的主要挑战，因为不可能保持阈值开放超过几个小时。如果阈值开放时间过长，那么SIEM的性能将大大降低。自从移动技术的出现，自带设备（BYOD）和云的采用，身份识别和访问权限是安全管理的核心组成部分。UEBA/用户行为分析（UBA）技术使用身份识别和访问权限来定义正常和异常的用户和实体行为。

由威胁情报、逆向工程和基于AI/ML的监控技术驱动的安全运营已经改变了下一代安全运营中心。混合型安全运营中心–由MSSP在客户的场地上部署和运营–在这一时期出现了。混合安全运营中心也被称为远程安全运营中心。

2015年，威胁情报平台（TIPs）、开源情报（OSINT）和商业威胁情报反馈成为安全运维的核心组成部分。威胁情报丰富了事件的背景，并帮助安全分析人员做出决策。威胁情报还有助于了解对手的战术、行为、工具和程序。基于战术、技术和程序(TTPs)的威胁搜寻通过早期发现和修复隐藏威胁，为安全运营中心增加了更多价值。

云迁移就开始于这段时间，诸如云访问安全经纪人（CASBs）在内的云安全解决方案进入了安全市场，为IT和安全社区的影子IT和影子数据带来了曙光。安全运营中心的监测职责已扩大至包括云，复杂威胁也在这段时间中增加。云安全态势管理（CSPM）、云工作负载保护平台（CWPP）、基于云的端点检测和响应以及基于云的搜寻是现代安全运营所增加的新功能。

网络防御中心（CDC）、网络融合中心（CFC）、网络安全运营中心（CSOC）、网络安全事件响应小组（CSIRT）和联合运营中心（JOC）是2015年后为安全运营中心创造的新名称。安全运营之路始于被动防御，而后转向主动防御，现在采用自动化手段的主动防御阶段。

很快，50%以上的安全运营中心将被迁移到集成了自动威胁搜寻和事件响应功能的现代网络防御中心（CDC）。尚未踏上安全运营中心之路的组织可以从MSSP开始，然后转向混合安全运营中心模式，最终达到自己的成熟安全运营中心。现代网络防御中心（CDC）或网络融合中心（CFC）提供以下服务：

安全事件监测、检测、调查、分流
恶意软件分析、反向工程、数字取证、内部威胁、网络欺诈
威胁情报平台管理
威胁搜寻
内容管理
威胁和漏洞管理
合规
报告和通知
培训
身份和访问治理

安全运营中心的挑战

误报是安全运营中心面临的最大挑战（图2）；50%以上的安全运营中心分析人员的工作被分配用于处理误报。日志源的整合、开箱即用的用例和未经验证的规则是造成误报的主要原因。缺乏事件的背景和基于阈值的关联规则是安全分析师面临的挑战。自从整合AI/ML监控解决方案以来，基于阈值的关联规则已被转化为ML模型。这种威胁情报的整合解决了缺少背景的问题。

随着时间的推移，孤立的解决方案被添加至安全运营中心监测中，安全分析师不得不在多个控制台之间切换以应对事件。在短时间内对人们进行多种技术培训是不可能的。记录和更新安全事件操作手册/运行手册以及维护最新的知识库需要耗费大量经历，但对于任何安全运营中心都是关键。

多点解决方案增加了安全分析员的事件数量。重复性任务和警报疲劳是安全分析员离开安全运营岗位的主要原因。

默认情况下，传统的SIEM解决方案和下一代SIEM解决方案不具备计算事件的平均检测时间（MTTD）和平均响应时间（MTTR）的功能。需要手动操作才能实现这些类型的计算和指标。

疫情爆发后的安全运营中心挑战

如图3所示，大流行和远程工作都带来了网络安全挑战。

1. 协作——通常情况下，安全运营团队会在一个安全的地方聚集，有专门的系统、监视器和网络，可以轻松协作，当面应对高级威胁。自从新冠肺炎大流行开始，协作成为挑战，而虚拟协作工具和作战室是现有的最佳解决方案。

2. SecOps工具——分析师必须通过远程访问应对和缓解威胁。访问专门的SecOps工具是另一个主要挑战，因为必须启用多因素身份验证和安全性。

3. 系统设计——安全运营中心分析师通常使用宽屏双显示器和定制硬件工作。在疫情之后，安全运营中心分析师正面临着用笔记本电脑实现同样生产力的挑战。

4. 安全运营团队的健康——这对任何组织都至关重要。企业领导人必须关注他们的安全运营中心团队的健康，以继续对抗当前和未来出现的威胁。

5. 独立的虚拟专用网络（VPNs）——对关键的SOC系统实施替代性VPN访问是需要克服的最新挑战，以便在基础设施被破坏的情况下允许向下兼容的机制。

6. 新的威胁——双重敲诈勒索软件、使用人工智能技术的网络钓鱼、勒索分布式拒绝服务（DDoS）攻击和特权访问攻击等威胁为SOC团队带来了新的挑战。维护安全通信渠道和安全运营技术的独立VPN是需要克服的最新挑战。

7. 安全通信——通常情况下，安全运营中心分析师进行面对面的沟通。在在家工作的模式下，传达工件、证据和屏幕截图已成为挑战。

8. 远程SecOps——安全运营中心是物理站点，不能完全用虚拟环境代替。

构建有效安全运营中心的策略

在人员、流程和先进的下一代技术的帮助下，组织可以利用最少的资源和时间从安全运营中心中获益（图4）。构建一个有效的安全运营中心需要了解组织的需求以及其局限性。一旦了解了组织的需求和局限性，以下的最佳实践将帮助组织在预算范围内利用正确的工具和技术构建有效的安全运营中心。

一致地执行管理赞助

首席信息安全官（CISO）或首席信息官（CIO）应审定安全运营中心的范围，并持续监控项目的实施进度。执行管理层必须对预算进行审查并做出决定，包括选择合适的工具和技术以及提供的安全运营中心服务。CISO/CIO和安全运营中心架构团队必须根据成本、内部和外部技术资源的可用性以及监管和合规要求，决定是否实施内部管理的安全运营中心、MSSP或混合安全运营中心（图1）。

选择合适的人

建立有效的安全运营中心包括多个阶段：计划、设计、建设、运营、测量和优化。每个阶段都需要一套不同的能力和技能，包括差距评估、安全运营中心设计、基础设施设计、设施管理、电气工程、网络工程、SIEM工程、事件响应工作流程、漏洞管理、事件关联和数据分析、操作手册开发和自动化、技术集成、安全风险管理、恶意软件分析、入侵检测和响应、身份和访问分析、安全分析、威胁情报、威胁搜寻和取证。

建立SOC组织结构、指导委员会和管理团队

这通常是实施SOC项目的第一步。指导委员会审查项目实施的进展情况，并向执行管理层提供最新信息。指导委员会应该有来自IT、安全工程、事件响应、风险管理、数据隐私、各业务部门和人力资源的领导。治理团队和指导委员会必须决定并记录SOC所提供的服务，以及从安全风险角度对组织的好处。

人员、流程和技术的整合

必须对安全运营中心组件进行评估，以改进安全运营中心的服务和成熟度（图4）。目前有各种安全运营中心成熟度评估模型，包括CREST和SOC-CMM，可以根据组织的需求选择最佳方案。安全运营中心组件评估的目的是了解SOC是如何管理威胁和风险的，以及安全运营中心战略是如何与业务战略保持一致的。评估中发现的差距应被用于提高SOC组件的有效性和成熟度。

安全协调自动化和响应（SOAR）解决方案2017年后进入了安全运营中心领域，解决了此前的诸多挑战。多点解决方案与威胁情报、重复性任务的端到端自动化、事件响应、操作手册/运营手册的动态更新、背景信息丰富化、MTTD、MTTR计算和事件优先化的协调编排，使安全分析变得更加容易。

漏洞攻击模拟和网络安全靶场（图4）是现代安全运营中心的新能力。网络安全靶场帮助安全运营中心培训安全分析师，通过模拟网络安全演习来对抗复杂的威胁。破坏性攻击模拟（BAS）技术帮助安全分析员和其领导了解在不干扰生产基础设施的情况下针对最新威胁所实施的安全管控措施的有效性。BAS还可以帮助首席信息安全官（CISO）优化和论证各种安全管控措施的安全投资。

用例开发和分析取决于相关数据的收集收集

来自各种日志源的事件日志、来自网络设备的网络流量和来自深度数据包检测解决方案的网络数据包，并对其进行汇总、重复数据删除和分析，以进行安全监测。在实施之前，工程团队应该从安全运营中心指导委员会那里得到以下问题的答案，以减少误报。

哪些设备和技术需要被监控？
必须生成和收集哪些日志事件
应该提出哪些安全警报？
根据安全运营中心的目标以及合规性和监管要求，应如何、在何处以及以何种频率从各种日志源收集日志？

误报是所有安全运营中心的主要挑战（图2），它们可以通过收集相关可操作数据和丰富基于相关可操作威胁情报的背景信息来避免。在为安全运营中心开发用例之前，必须实施用例开发框架。对于确定用于安全监测的所有用例，以下内容必须记录为用例开发的一部分（图5）。

用例的目标、目的和对象
该用例将解决的威胁
利益相关者及其在用例和事件响应工作流程中的角色和责任
要关联的数据源
检测威胁的相关规则/数据模型的逻辑和语法
语法和逻辑的验证/测试
基于风险和影响的警报的优先级
响应措施/缓解措施/作为事件响应的一部分应遵循的步骤

安全运营从被动到主动的路径这是处理快速变化的威胁面的关键：根据预先确定的目标，主动分析应用程序、基础设施和网络威胁，并制定对策，以防止攻击和减轻损害。漏洞准备评估可以帮助识别安全架构中的盲点并部署安全管控措施。可能的攻击者特征、最可能的攻击载体和攻击者最想要的资产是识别威胁的关键。网络威胁情报是安全运营的关键推动因素，为整个组织的决策和行动提供必要的背景。结构良好的网络威胁情报为利益相关者服务。网络威胁情报与现有流程和基础设施的集成有助于更深入地了解组织网络之外发生的情况，给组织基础设施带来最大风险的网络威胁从而可以清晰可见。

威胁狩猎是作为高级的安全分析过程，它利用对网络或组织的深入了解来捕获更隐蔽、更深入的攻击者。威胁狩猎为防御者提供工具，通过积极寻找异常和可疑行为来缩小差距。防御者可以在威胁反馈出现之前识别TTP的变化。威胁情报和威胁搜寻功能的存在是为了加强组织中的其他团队。因此，威胁情报和狩猎团队必须纳入了解核心业务、运营工作流程、网络基础设施、风险状况和供应链以及技术基础设施和软件的人员。

对端点的主动监测是至关重要的，因为端点是大多数入侵行动的开始和结束之地。如果定期使用端点检测和响应（EDR）功能来捕获未经过滤的数据并进行持续监测，则是非常有用的。

XDR：SOC下一步？

拓展检测和响应（XDR）以及IT、OT、ICS的集成可能是安全运营中心演化的下一个方向。XDR是从目前的被动威胁检测和响应解决方案演变而来，集成了安全技术信号，以跨身份、端点、云和网络提取威胁事件。XDR的功能包括身份分析、网络分析、综合威胁情报、基于AI/ML的检测，以及自动和协调的调查响应。

XDR将改变安全运营中心的运作方式，在以下方面为安全分析师提供支持：

完成自动化和编排的调查，以减少检测和分流的时间。
揭示根源分析，并通过跨表面的关联获得非凡的态势感知。
追踪多个系统组件的威胁。
提高检测和响应速度。
消除整合和维护日志源所需的工作。
通过基于云的大数据湖增加可扩展的存储和计算。
提高安全运营中心的生产力。

制造业已经加快了数字化转型，以实现其流程的自动化并在市场上具有竞争力。OT被用于管理诸如在制造业中发现的那些工业操作。这延伸覆盖至ICSs和ICS管理框架以及监督控制和数据采集系统（SCADA）。

OT和ICS网络依赖数字系统来进行日常运作。OT/ICS的连接增加，将导致针对OT/ICS网络的网络安全威胁增加。通过将OT与IT融合，制造企业以前使用的孤立的受保护系统现在也面临着通常针对IT系统的同样类型的安全威胁。针对OT/ICS网络最常见的网络攻击是协议漏洞攻击、数据泄漏、远程访问木马、勒索软件、僵尸攻击和分布式拒绝服务（DDoS）攻击。

要管理针对IT/OT系统和网络的复杂网络威胁，非常需要IT和OT 安全运营中心的整合。拥有OT和ICS作为其基础设施一部分的组织将能够实现对OT系统的安全监测。OT SOC可以与IT SOC融合。IT、SecOps和OT团队之间的协作对于IT/OT SOC的成功整合至关重要。在团队之间建立沟通和信任对于创造牢固的合作伙伴关系非常关键。IT/OT 安全运营中心的整合将通过以下方式保护OT系统：

持续发现资产和行为分析（设备类型、网络行为、活动监测）。
漏洞生命周期管理和配置合规性
对OT/ICS/SCADA系统进行持续监测，以发现网络威胁并作出反应
应对访问异常情况
深度数据包检查
针对OT/ICS的威胁情报

总结

虽然网络安全专业人员面临的威胁不断演变和扩散，但必须跟踪新出现的威胁并调整新的意识形态来应对这些威胁，包括发展安全运营中心。这包括大流行病的影响和必须采用的技术来克服它，这样生理上的病毒就不会耗尽安全运营中心的人际互动。随着网络犯罪分子和民族国家资助的攻击者发起越来越复杂的攻击，以窃取敏感数据和破坏业务，安全运营中心是专门的前线团队，保持24/7/365的频率工作，以阻止这些威胁。

在当今的数字化经济中，安全运营中心对所有类型和规模的组织都至关重要，因为一个组织的许多业务和敏感数据都在网上和云中。为了打击网络犯罪分子，需要采用现代的安全运营中心运营方式，关键的最佳实践如下：