当今的安全态势瞬息万变,对于负责保护公司基础设施和敏感数据的SOC(安全运营中心)团队来说,具备相关技能变得前所未有的重要。总体而言,大多数组织都低估了网络安全威胁和预算,这导致SOC团队通常人手不足、工作过劳,并且安全可见度很差。此外,SOC团队还面临一个巨大的挑战:随着威胁形势的不断发展,SOC团队需要不断掌握新技能才能领先于网络对手。
以下是现代化SOC团队成功应对未来大规模检测和响应时所需的五大新技能:
01
写代码
一切即代码,不仅仅指应用程序,操作系统、网络配置和开发管道也都已经代码化,如今这个说法在安全领域有了新的含义,安全团队的运作方式和他们需要的技能已经发生显著改变。过去在SOC中的工作不需要编码技能,但今天编码已经成为一项基本技能。
检测即代码:这是一种使用软件工程原理编写检测系统的方法,意味着安全团队需要能够开发定制规则,这些规则可以在版本控制中进行适当的测试、版本化,并以编程方式管理。编程语言的灵活性和健壮性使安全团队能够检测简单或高级的行为,通过上下文获取、富化和描述整个事件。
安全团队应该边练边学,通过解决实际问题(例如分析大量原始数据)来掌握学习软件开发的基础知识。应该首先编写具有功能性的代码,然后再回去学习最佳实践、单元测试和其他有助于良好代码可持续性的技术。安全团队还可以向组织内不同软件团队的成员学习,以帮助进行交叉培训。建议从解释性语言开始,例如Python或Ruby,它们具有易于遵循的语法和性能权衡。
02
云技术
可以说,所有现代科技公司都建立在云服务之上,云服务不断提升基础架构堆栈以简化复杂的概念。随着这种转变的发生,安全团队需要确保不断收集相关数据集以保持可见度,并灌输严格的控制措施以防止意外的数据或系统暴露。
安全从业者应该从学习云存储、计算、身份和访问管理等基本服务开始。与编码一样,从解决现实问题开始,例如安全数据的存储、处理和保留,或者通过强化公司现有的基础设施来工作。此外,许多参考架构也可以作为有用的学习模型。
03
安全日志管道
每个团队都在使用软件即服务而不是位于防火墙后面的本地解决方案,这意味着安全数据分散在多个服务中,集中控制要少得多。Google Workspaces、Auth0、Okta、Duo、Jamf等工具的流行产生数据集中化的需求。挑战在于验证和采集的日志数据有着不同的格式、API和方法。
安全团队必须收集尽可能多的数据以保持可见度和防御能力。他们必须使用rsyslog、vector、fluentd或logstash等工具构建内部日志记录管道。安全团队应该熟悉这些工具的配置、可扩展性和可插入其他系统的方式,例如云存储和SIEM。
04
攻击者TTP
充分了解最近的攻击者技术、策略和程序(TTP)可以帮助团队开发一组强大的检测技术,以管理其环境中的多个向量。追踪分析最新的攻击行为可以帮助他们了解那些危及组织的现代威胁模型和技术。一个很好的例子是勒索软件攻击的兴起。检测应该足够高保真,不会产生太多警报。通过使用编程语言,团队可以测试和描述更复杂的攻击。
05
威胁搜寻
随着网络对手变得越来越老练,安全团队必须采取更主动的方法来识别其组织云基础架构中以前未知或正在进行的未修复威胁。由于复杂的高级持续威胁可能潜伏数周甚至数月,因此现代SOC团队必须接受培训,以补强自动化系统并通过寻找可疑活动模式来搜索隐藏的恶意软件或攻击者。
安全团队通常规模小、人手不足,而且通常在DevOps或软件工程方面没有经验。但大规模监控需要上述这些技能。此外,安全从业者需要了解如何使用系统检测来获取他们需要的数据,并开发可靠、容错和弹性的数据处理管道来处理这些数据。
从学习编程基础到了解云基础设施,安全从业者应该提升他们的技能。攻击者的技术确实令人生畏,但现代工具和高度熟练的安全人员足可应对这些安全挑战。
