最重要的SOC流程：防御评估

企业需要的不仅仅是安全，还需要具备网络弹性。这意味着要为已知和未知的危机、威胁和挑战做好准备、能够做出响应并从中恢复——同时确保业务连续性。除此之外，强大的网络弹性框架还必须支持业务增长和转型。为了实现这些目标，SOC需要健全强大的流程作为支撑。

虽然流程的重要性通常排在能力之后，但安全专家认为流程仍然至关重要，而最重要的安全运营流程莫过于对防御的定期评估。

防御评估可确保防御针对当前威胁的有效性，并确保现有安全控制继续按预期运行。根据CyberRes最新发布的安全运营状况报告，超过85%的组织声称至少每六个月评估一次他们的威胁模型。

防御评估如何做更有效？什么是最佳实践？以下我们从报告中提炼出几个重点：

采用威胁模型

正式的威胁建模框架，例如MITRE ATT&CK，可以帮助组织准备和应对威胁。这类框架还因其识别安全防御漏洞、提高组织修复威胁的能力并确保使用一致的语言的能力而受到重视。简而言之，威胁模型提供了详细的指南、检查清单和推荐的流程，以防止已知漏洞。

最常用的框架是网络杀链——洛克希德马丁公司改编的美军杀伤链分析技术的变体。紧随其后的是微软创建的MITRE ATT&CK框架和STRIDE。每个框架都有自己的优势和缺陷，因此组织在其安全团队中利用多个威胁建模框架是很常见的。由于大多数框架是开源的并且可以提供多种功能，因此组织应该考虑实施至少一个。

使用网络靶场和红队模拟防御

威胁建模并非万无一失。以人为本的练习，例如红队（员工模拟对手的行为）和渗透测试等也是同样重要的流程。通过模拟攻击，您可以在事件链展开时获得第一手经验，正确了解您的响应能力，并识别潜在的隐藏漏洞。

根据报告，超过三分之二的组织目前每年至少进行两次类似的演习，超过90%的组织认为红队是一项必不可少的活动。作为风险和准备的一部分，这些练习的结果应报告给董事会和CISO进行尽职调查。

使用自动化

自动化的好处是减少了工作量，因此员工可以专注于更高价值的活动。大约三分之一的SecOps决策者认为自动化修复任务是自动化的首要用例，紧随其后的是风险报告。此外，超过一半的安全专业人员认为建立可重复的优先情报要求(PIR)流程是他们未来两年情报相关投资的首要关注点。

智能自动化对于增强SOC能力也至关重要。无监督机器学习（一种通过观察而不是通过实例学习的系统）在检查行为模式、发现异常和检测潜在欺诈方面变得至关重要。这些自主系统有助于寻找威胁和发现网络分析师可能不会注意到的潜在风险。

因此，机器学习是高度自动化SOC的基本组成部分，可帮助团队理解和管理日益复杂的攻击面。虽然自动化永远不会完全取代人类的直觉和专业知识，但任务的数量和速度、熟练资源的短缺和不断上升的成本驱动因素使其成为所有SOC的基本要素。

攻击面管理

安全控制的另一个关键要素是攻击面管理(ASM)。这是发现、跟踪、分类和监控网络中或员工使用的资产的能力。资产范围包括从笔记本电脑和路由器到软件和云服务。ASM工具基于“如果你没有找到，攻击者会找到它”的假设寻找最薄弱的环节。从数据发现到搜寻流氓设备，攻击面管理让公司可以确信加固后的系统没有任何弱点。

此外，SOC还可以采用更多流程和最佳实践来确保强大的安全态势。然而，所有这些工作的核心目标应该保持不变：保护、检测和进化。使用一流的解决方案保护您的业务，确保您能够检测到不断变化的风险，并根据这些变化保持不断发展的能力。遵循这些原则有助于形成强大的网络弹性框架，提供更加成熟的预案，以可靠、安全的方式适应不断变化的工作环境，同时具备足够的灵活性和敏捷性来应对不可预见的状况。