接下來，這個系列我們跟著英國的專家，探討一下SOC，看看SOC的發(fā)展趨勢，當(dāng)然我們還是秉承一貫的聲明，這些內(nèi)容是為了大家能夠多一個參考，在開展工作中，一定有因地制宜，切實(shí)履行我國的法律法規(guī)，履行法定義務(wù)，做到合規(guī)和安全。

因此，如果在英國正在實(shí)施一個大型數(shù)字項(xiàng)目，并在項(xiàng)目的每個階段都遵循GOV.UK 服務(wù)手冊。

您現(xiàn)在已準(zhǔn)備好上線，但項(xiàng)目的認(rèn)證機(jī)構(gòu)需要知道該服務(wù)是否具有“保護(hù)性監(jiān)控”。這意味著團(tuán)隊(duì)需要花費(fèi)時間和精力來采購（或建立）安全運(yùn)營中心（SOC）。

或者確實(shí)如此？

構(gòu)建 SOC 是一項(xiàng)需要投入大量時間和金錢的任務(wù)。本博客探討組織是否有可能以不需要“全脂”SOC 的方式設(shè)計(jì)系統(tǒng)。

SOC 如何工作？

SOC 通常由與操作人員不同的團(tuán)隊(duì)來運(yùn)行。這有助于區(qū)分管理數(shù)字服務(wù)的人員和監(jiān)控安全日志的人員之間的職責(zé)。

SOC 本身通常有專門的工具，最常見的是 SIEM（安全信息和事件管理）工具。它以日志和數(shù)據(jù)源作為輸入，執(zhí)行一些關(guān)聯(lián)和規(guī)則檢查，然后輸出警報(bào)以進(jìn)行分類。SOC 工具的許可可能很昂貴，通常以企業(yè)為中心的解決方案往往成本最高（并且通常需要每年續(xù)訂）。

SOC 團(tuán)隊(duì)通常包括：

• 安全分析師對事件和警報(bào)進(jìn)行分類
• 安全工程師管理工具（以及將項(xiàng)目引入 SOC）
• 某種形式的管理和行政職能

并且在某些情況下

• 威脅情報(bào)功能

遇到安全事件，沒有日志來幫助弄清楚發(fā)生了什么，并且必須向高層報(bào)告，這是一個糟糕的情況。在某些情況下，出于法律和取證目的可能需要日志，因此證明其處理和完整性的監(jiān)管鏈非常重要。

根據(jù) SIEM 工具，有些工具提供日志的加密完整性和驗(yàn)證，以確定日志是否已被篡改。SOC 通常是確保日志的一個很好的策略：

• 安全收集
• 經(jīng)授權(quán)的個人可以訪問
• 根據(jù)組織政策
• 不是簡單地收集以備不時之需（或被遺忘）

然而，設(shè)置自己的 SOC 可能既昂貴又耗時，因此一種選擇是外包 SOC。然而，外部 SOC 分析師可能缺乏（例如）項(xiàng)目架構(gòu)的知識，并且可能無法像內(nèi)部 SOC 那樣及時響應(yīng)警報(bào)。

GPG13：房間里的大象

NCSC 的前身 CESG 發(fā)布了有關(guān)保護(hù)性監(jiān)測的“良好實(shí)踐指南”(GPG)。被稱為 GPG13，負(fù)責(zé)處理風(fēng)險(xiǎn)的人員經(jīng)常在服務(wù)上線之前使用 GPG13 作為要求。在某些情況下，這將保護(hù)性監(jiān)控變成了一項(xiàng)復(fù)選框練習(xí)，SOC 工具的營銷材料將其產(chǎn)品描述為“符合 GPG13”。

隨著應(yīng)用程序和服務(wù)的架構(gòu)和技術(shù)堆棧開始多樣化，這個問題變得更加嚴(yán)重，因?yàn)榉?wù)所有者沒有動力去識別和監(jiān)控未記錄在 GPG13 中的風(fēng)險(xiǎn)。

GPG13 在 NCSC 成立之前已被棄用。然而，我們?nèi)匀蛔尶蛻粼谒麄兊谋ＷC過程中引用 GPG13，并且偶爾會被問到何時發(fā)布更換指南。為了區(qū)分“GPG13 保護(hù)性監(jiān)控方法”和 NCSC 當(dāng)前的方法，我將使用術(shù)語“安全監(jiān)控”來描述使用云原生服務(wù)構(gòu)建的服務(wù)所考慮的方法。

云如何改變一切？

英國政府于 2013 年推出了“云優(yōu)先”政策，目標(biāo)是讓政府部門在考慮傳統(tǒng)的本地部署之前考慮云優(yōu)先解決方案。

那么，向云的轉(zhuǎn)變?nèi)绾握{(diào)整我們的安全要求呢？對于從本地基礎(chǔ)設(shè)施直接遷移到托管 IaaS 的部署，這并不會減少對 SOC 的需求，因?yàn)闆]有固有的共享責(zé)任模型來減少運(yùn)營責(zé)任。通過遵循和實(shí)施NCSC 的云安全指南，組織可以越來越多地轉(zhuǎn)向云提供商提供的監(jiān)控工具（而不是依賴 SIEM、SOC 或?qū)I(yè)安全人員）。

SOC 的一個關(guān)鍵優(yōu)勢是能夠識別特定于環(huán)境的風(fēng)險(xiǎn)并發(fā)出警報(bào)。此要求不會隨著安全監(jiān)控而消失，識別和監(jiān)控任何自定義警報(bào)仍然很重要。

什么，沒有 SOC？

那么，什么樣的方法已經(jīng)被用作全脂 SOC 的替代方案呢？以下是目前正在采用的一些政府項(xiàng)目：

• 完全云原生架構(gòu)僅使用“云原生”服務(wù)的已部署服務(wù)，利用圍繞服務(wù)使用進(jìn)行嚴(yán)格身份管理的優(yōu)勢，并且沒有傳統(tǒng)上部署在虛擬機(jī)上的部署、修補(bǔ)和故障排除服務(wù)的運(yùn)營開銷。
• 零接觸生產(chǎn)部署的服務(wù)，工程師永遠(yuǎn)無法直接訪問生產(chǎn)服務(wù)（除了嚴(yán)格監(jiān)控和審核的打破玻璃解決方案之外）。這降低了系統(tǒng)風(fēng)險(xiǎn)并減少了安全監(jiān)控用例。
• 環(huán)境分離對應(yīng)保持隔離的功能使用單獨(dú)的云帳戶。例如，存儲安全監(jiān)控日志和不應(yīng)訪問的服務(wù)（即使在玻璃破碎事件期間）的帳戶托管在單獨(dú)的云帳戶中，并具有嚴(yán)格的訪問控制和警報(bào)。
• 簡化日志收集云原生服務(wù)提供自己的日志（以及整合和分析日志的服務(wù)）。隨著安全監(jiān)控要求的簡化，事件的記錄也被簡化。日志現(xiàn)在采用一致的格式，并且可以收集并存儲在云端。一些云提供商提供了解決日志完整性的選項(xiàng)，例如存儲可用于驗(yàn)證日志完整性的校驗(yàn)和，并且在審核期間可能有用。
• 取代已經(jīng)擁有中央 SOC 的 SIEM政府部門發(fā)現(xiàn)入門服務(wù)是一項(xiàng)耗時的任務(wù)。通過保持架構(gòu)簡單，一些人已經(jīng)能夠通過擴(kuò)展其云原生日志記錄解決方案以及將規(guī)則和警報(bào)直接構(gòu)建到平臺中來取代 SIEM 的要求。安全開發(fā)實(shí)踐意味著運(yùn)營團(tuán)隊(duì)對安全負(fù)有責(zé)任，因此不需要安全團(tuán)隊(duì)。事件管理至關(guān)重要，了解該做什么以及他們的責(zé)任也很重要。
• 打破玻璃有時需要直接生產(chǎn)訪問。這可能是由于操作需要（例如調(diào)查性能下降），也可能是安全事件的一部分的要求。在某些項(xiàng)目中，運(yùn)營團(tuán)隊(duì)負(fù)責(zé)調(diào)查和運(yùn)行事件，這是通過記錄良好的流程和程序、良好的訪問和變更控制以及嚴(yán)格的系統(tǒng)審核來實(shí)現(xiàn)的。訪問是有時間限制的，所有事件都由團(tuán)隊(duì)中的其他人審核和監(jiān)控。
• 驗(yàn)證日志記錄如果日志記錄停止工作并且沒有人注意到，那么所有這一切都將毫無用處。如果在時間窗口內(nèi)未觀察到令牌，則可以向服務(wù)注入金絲雀令牌并發(fā)出警報(bào)/錯誤。

最后的想法

在官方構(gòu)建服務(wù)的地方，“云優(yōu)先”應(yīng)該是重點(diǎn)，這應(yīng)該包括上述所有強(qiáng)調(diào)的領(lǐng)域，以幫助加強(qiáng)和簡化安全監(jiān)控要求。

對于 AWS（例如），您擁有嚴(yán)格控制的云原生服務(wù)，例如 GuardDuty、Security Hub、CloudTrail、CloudWatch。因此，您無需部署 SIEM，而是讓運(yùn)營團(tuán)隊(duì)擁有監(jiān)控權(quán)，在設(shè)計(jì)簡單且安全的環(huán)境中工作。通過賦予運(yùn)營團(tuán)隊(duì)更多的服務(wù)所有權(quán)，我們會發(fā)現(xiàn)安全監(jiān)控變得可以重復(fù)使用，就像現(xiàn)在部署基礎(chǔ)設(shè)施時發(fā)生的情況一樣。

在評估項(xiàng)目是否需要 SOC 時，您應(yīng)該考慮依賴 SOC 的功能以及這些功能是否以其他方式涵蓋：

• 如果事件發(fā)生，您是否需要日志來調(diào)查事件？云原生服務(wù)（如果配置正確）可以做到這一點(diǎn)，您將需要考慮日志保留以及可以訪問或刪除日志的角色。
• 是否需要在攻擊發(fā)生時進(jìn)行檢測？云原生/無服務(wù)器架構(gòu)在可能的攻擊性質(zhì)方面將受到更多限制，因?yàn)榻M件通常是單一目的，需要處理底層基礎(chǔ)設(shè)施。通過評估您的架構(gòu)中可能存在的攻擊類型，您可以設(shè)置特定的警報(bào)。
• 是否有管理事件的要求？與上述一樣，在無服務(wù)器環(huán)境中警報(bào)的性質(zhì)會有所不同，并且該服務(wù)的運(yùn)營團(tuán)隊(duì)可能比一般 SOC 分析師更能夠識別可疑行為。然后，重要的一步是確保運(yùn)營團(tuán)隊(duì)知道如何升級懷疑并測試該流程。

NCSC 認(rèn)為，基于 SOC 和保護(hù)性監(jiān)控的系統(tǒng)在安全工具箱中仍然占有一席之地。對于某些企業(yè)IT系統(tǒng)（例如端點(diǎn)）和基于傳統(tǒng)IaaS的架構(gòu)（以及比官方分類更高的系統(tǒng)），仍然需要提供系統(tǒng)的反應(yīng)性監(jiān)控。集中式 SOC 也有好處，政府部門可以識別更廣泛的攻擊，這些攻擊正在探測組織使用的多種服務(wù)。

David S，高級安全架構(gòu)師

后記：所謂師夷長技以制夷，在思想解放的情況下，要充分發(fā)揮“拿來主義”，同時也要根據(jù)自己的需要修剪成自己所需要的樣子。

當(dāng)前文章：到 SOC 還是不到 SOC？
本文路徑：http://uogjgqi.cn/article/ccocppc.html