IT業界社群及資訊平台

【百鍊神盾】資訊安全監控中心是這樣鍊成的

越來越多機構建立 Security Operation Centers(SOCs),監察和應對資安威脅,不過要 100% 發揮 SOC 威力,前期功夫要做足,尤其資訊、系統和員工 3 大範疇。

很多組織忽略資訊整合的重要性,隨意看待收集的資訊,甚至懶去設立優先次序,甚甚至用 Spreadsheet 管理之。系統最常見的問題係各自為政,沒有自動化工作流程,系統間互不協調,更不會處理系統所運用的專用「語言」,嚴重阻礙跨系統操作。 員工方面,能夠追上資安發展的人才買少見少,一入職場又深似海,無止境重複又耗時的營運事項完全磨滅員工學習時間與精神。要建立完善的 SOC,發揮偵測能力,深入了解威脅,召集相關團隊合作,盡快解除危機,組織要認真看待資訊、系統與員工 3 個範疇。

今次先同大家講一講整合資訊的過程。要做好偵測工作,自要充分了解你所面對的威脅,有甚麼必須防禦,關鍵在於整合內外部資訊。由內部著手,你首先要收集內部所有資訊,不同資安層級的資訊都要整合,當然亦包括雲端。安全資訊事件管理(SIEM)的資訊,固然對 SOC 有很大幫助,但請大家別忽略 Endpoint Detection and Response(EDR)、Network Detection and Response(NDR)與 Cloud Detection and Response(CDR),它們的資訊不單可靠,而且免費!把內部資訊整合後,威脅與應變的中央指揮部雛形已成,下一步要擴展外部威脅情報,範疇包括商業、開源、政府、工業、資安供應商,又或者來自 MITRE ATT&CK 這類資安平台。資安團隊四方八面接收過百萬個威脅情報,很難有時間發掘第 3 方情報的優勢。第 29 屆 USENIX Security Symposium 上發表的報告就指出大眾普遍忽略這些情報的重要性。有效將它融入中央指揮部,才能有效阻止侵略,甚至自行修復。

刻下時代步伐超急速,COVID19 與 SolarWinds Orion 事件分別突顯社會形態劇變與連鎖效應的誇張幅度,與及所帶來的資安威脅有幾快有幾大。在 SOC 層面,用家要根據自己行業的風險,更具想像力定期創建相關的 Connector,擴充 SOC 的情報來源。這樣強化才能應對現今資安環境,讓 SOC 可以在更短時間發出危機通知,並擬定應變策略。

正確整合內外部情報的中央指揮部,就能得出一個真理般可靠的 SOC,不過經擴充的情報網,其情報量之多,必需以優先次序歸類。即使再權威的國際資安風險顧問公司,背後有再多研究支持,它們提供的意見始終 Generic,不能針對你處境位置,訂出更完善的報情源過濾網。與其將時間與資源捕風捉影,不如投放在真正有生產力的地方。中央指揮部亦會透過這個進程學習進步,未來可以自動化評估新資訊並按重要性排序處理。

SOC 不會一天內成長,但建立可靠的中央指揮部,定期觀察並更新資訊,不斷擴展相關情報來源,才可以將 SOC 效率最大化,自動化預視探測最高風險資安威脅,從速發出通知並擬定對策。節省下來資源,則調配到所需部門。

Privacy Preference Center