威胁情报驱动：更靠谱更聪明的“CEO”NGSOC

时间：2018-11-29 作者：奇安信

分享到：

在一个复杂的网络环境内，SIEM或者SOC平台的应用非常普遍，毕竟企业需要看清楚自己的网络资产、安全设备和各类数据，就需要有一个“CEO”把它们统一管理起来，处置日常事务

这个CEO并不十分“靠谱”

如果一个企业花费重金请了一个职业经理人来当CEO，那么这个CEO应当有能力从容处置公司的日常事务，并做出对公司发展有利的决策。同理，一个企业花费重金部署SOC，也自然希望它在一定程度上起到网络安全神经中枢的作用。

然而，实际情况却总是和人们预想的有一些偏差。

第一，误告警总是难以应对。作为一个威胁感知中心，SOC对误报率有着相当高的要求。当大量的日志数据、行为数据被引入的时候，其规则引擎会产生大量的噪声，这会白白消耗甲方安全团队的精力，导致真正的威胁被忽略掉，甚至，SOC会因为无法处理如此多的数据而瘫痪掉。

第二，未知威胁总是难以发现。之所以持续的检测和响应非常重要，就是存在太多的未知因素。当攻击者利用零日漏洞和新鲜的攻击手法，规则引擎就难以发现和识别。

第三，攻击总是难以研判。安全人员通过SOC的告警发现失陷主机或者远控木马后，往往试图找到攻击行为背后的攻击者，了解攻击者的攻击企图、常用工具、技术和攻击手法等，以评估来自攻击者的安全风险，并采取有针对性的防范措施。但在缺少威胁上下文相关数据的条件下，这一点也很难做到，更不要说自动化响应处置了。

很显然，如果这个CEO无法应对公司大量的日常事务，对于市场发展和危机缺乏预见性，对突发事件感到束手无策，那么这个CEO肯定难免被炒掉。同理，很多企业多数时候也会对自己花费重金购买的SOC感到有些失望：如果想要SOC持续工作，他们必须要投入大量的时间和精力，还要谨防SOC“罢工”。

NGSOC与威胁情报

2016年，在Gartner发布的十大信息安全技术里提到了情报驱动的安全运营中心，他们认为情报驱动的SOC超越了传统的预防工具和以事件为基础的监测，强调情报关联和自动化的响应处置。

Gartner总结了它的五大特征：

在战略和战术上运营威胁情报；通过高级分析将安全智能落地；极尽所能地实现自动化；捕猎和调查（侦查与猎取）；部署自适应安全架构。从这五大特征来看，假如情报驱动的SOC能够落地的话，的确可以弥补传统SOC的不足。

同年9月，奇安信发布了NGSOC，利用大数据、威胁情报突破传统SOC面临的瓶颈。引入关联性强、上下文体系完整的威胁情报后，企业将从关注单一威胁告警变为更加关注威胁目标、攻击手法、路径等技术指标、决策依据等全方位数据，从而通过威胁情报驱动来进行高级威胁的发现，验证疑似攻击，辅助安全协同并辅助决策。

具体而言，威胁情报在NGSOC中的应用包括以下两个部分：

第一，检测。来自补天威胁情报中心的威胁情报将自动发送到NGSOC中进行警报，并将来自NGSOC的特定事件，协同威胁情报信息来进行关联分析和数据挖掘，从而检测出威胁并在网络中进行定位，安全人员可以锁定失陷主机、远控木马或者其他恶意文件的所在位置。

第二，研判。当安全人员通过SOC告警发现威胁后，可以利用本地全量的网络和主机行为日志，并且结合威胁情报进行深入的调查，利用搜索、统计、可视化关联等方法和技术，找出与攻击者相关联的更多蛛丝马迹，从而拼凑出攻击者完整的行为链条，做出有针对性的防御措施。

当然，实现这两点的一个重要前提是需要保证高质量的情报，否则噪声等问题依然会出现，说白了就是需要底层强大的数据能力作为支撑。除了100亿+样本库、100亿+DNS解析记录等云端海量的数据外，NGSOC最重要的特点之一就是本地全量数据的采集和分析，并从中分析得出失陷主机、文件信誉、IP等威胁情报。

同时，为了解决传统SOC面临海量数据时的性能瓶颈，NGSOC采用了可灵活水平扩展的分布式架构，数据采集使用分布式采集探针，可根据采集数据量和网络拓扑的需要来灵活增加探针的数量，数据存储和分析系统亦可根据需保存的数据量和计算资源需求，通过增加节点的方式进行灵活水平扩展。

这也就是说，NGSOC在结合威胁情报以后，可以有效地降低设备噪声，提高未知威胁的发现能力并且实现自动化的应急处置。

客户实践：精准跟踪恶意行为

在服务企业客户的过程中，某大型央企希望针对总部2000台终端主机做全方位的安全监控和预警。奇安信需要部署一定数量的流量传感器和探针，分别用于采集企业内外网流量交换情况和各终端日志情况。

安全人员在处理NGSOC日常告警时发现，客户内网某IP存在违规访问恶意域名的现象。通过与威胁情报上下文信息比对发现，该样本属于一种特定的勒索木马，从而快速判定了攻击意图。安全人员通过调查分析功能找到了所有受害终端，并且能够对该终端做持续的检测和响应。

从这个案例中可以清楚地看到，情报驱动的SOC为警报和事件添加了情景和关联丰富的上下文，能够帮助企业更加快速、精准、全面地掌握风险所在，对企业日常的安全检测和响应有着非常大的作用。

企业动态