企业安全运营中心(SOC)实践分享2018.6IBMSecurity如何建立一个企业级安全运营中心应对安全威胁如何根据企业的不同情况,选择最佳的SOC模型2©2017IBMCorporation议题IBMSecurity公司通常会出于纵深防御战略的考虑而购买一系列安全解决方案数据没有得到优化3©2017IBMCorporation分析斗争最佳实践的踌躇不决这些措施通常产生数百万个日志和事件,其中很少有相互关联或协调的。没有全局可视性Firewall统一威胁管理系统入侵检测与防护防病毒Next-generation-X主机入侵检测与防护安全网关E-mail安全信息与事件管理(SIEM)Web应用防火墙云,移动,IoTIBMSecurity1如果架构配置正确的话,是不是可以起到预防作用?如果技术得到了购买、部署和有效运行,本可以终止这个攻击?23本来是能被终止的,但检测到的信息被忽略了4可能已经被发现,但是由于数据太多而错过了这次攻击在被成功的攻击之后,我们会问:4©2017IBMCorporation尽管有了这些投资,但随着业务增长和实现公司目标而规模扩大客户依然挣扎于如何满足最佳实践©2017IBMCorporationIBMSecurity让您的安全投资发挥最大作用5IBMSecurity精心安排威胁预防技术整合日常任务Tier1Tier2Tier3构建SOC6©2017IBMCorporationIBMSecuritySOC架构设计SOC流程与组织设计SOCUseCase设计SIEM实施与整合安全事件响应与Ticketing设计威胁情报功能设计与实施SOC报告设计与实施测试,试点与过渡运行SOC的建设步骤7©2017IBMCorporationIBMSecurity•SOC架构是指的可以支持SOC的概念体系结构,当这个架构从概念变成实现时,将帮助安全团队通过人员、流程和技术的组合来管理和减轻信息安全风险。•SOC的基础架构大致包括:SOC服务目录系统拓扑架构视图(如:SIEM,ticketing)SOC运营模型SOC组件模型SOC运营依赖性SOC交付位置非功能性需求SOC架构设计8©2017IBMCorporationIBMSecurity典型的SOC架构设计内容9©2017IBMCorporationIBMSecurity以安全为中心的组织准备独一无二的人员管理规划,将会提供显著的长期回报SOC流程必须被文档化,持续实施并且基于现有的标准和治理框架。SOC流程与组织设计10©2017IBMCorporationIBMSecurity流程相关文档流程相关文档流程图流程描述度量(KPI/SLO/SLA)职责矩阵(RACI)…流程是SOC建设中必不可少的部分11©2017IBMCorporationIBMSecuritySOC实施经理SOC工程经理(建设)安全系统管理员安全策略管理员设备管理员SOC监控Tier1高级威胁分析员威胁分析员威胁分析学员SOC分诊Tier2高级威胁响应分析员威胁响应缓解分析员(被动)威胁响应修复分析员(主动)SOC升级Tier3事件案例经理高级事件响应技术分析员安全经理(建设/计划)SOC/安全架构师(计划)IT运营事件管理问题管理变更管理发布管理设备管理治理SOC组织围绕着标准、建设和运行模型来组建12©2017IBMCorporationIBMSecurity在SOC/SIEM中的一个UseCase是一套规则来解决安全事件关联的特定客户需求,在商业背景下的合规性,规范性和安全性的背景下,提供可见性和检测能力。SOC/SIEM的有效性作为SOC团队的助手在很大程度上取决于部署用例的价值。SOCUseCase设计与开发1,2,3BasedonIBMinternaldata.平均实施一个新的用例的花费在2万美金到5万美金之间.2识别、设计、开发、测试、实现和调试新用例及其支持规则所需的平均时间是以数周或数月计算的.3SOC和安全团队必须跟踪您投资组合中用例的价值每年的SOC花费大约30至35%的安全运营中心(SOC)花费在UseCase的相关活动上。130-35%13©2017IBMCorporation新数据用例规则报告IBMSecurity1.用例需求信息收集与分析2.用例基线收集3.用例培训4.技术规范模板中的用例文档草稿5.建在SIEM之上的用例6.用例监控7.用例验证与调试8.用例文档在技术规范模板中的定稿9.用例测试与再调整10.用例接收测试11.用例微调12.用例响应&调查技术&流程129106111253478321UseCase决定了SOC的运行效果UseCase框架模型14©2017IBMCorporation典型的用例建设基本步骤IBMSecuritySIEM实施即实施SIEM平台以确保完全支持SOC所有功能确保SIEM所有保存的数据都能满足对于数据安全的策略要求数据源收集•识别,分析和优先排序各数据源•对于非通用数据源/接口,进行二次开发以确保SIEM可以正确识别和分析其内容SIEM实施与集成15©2017IBMCorporationIBMSecuritySOC的技术基础是以SIEM为核心16©2017IBMCorporationIBMSecurity开发事件响应框架,包括:•流程,有哪些需要处理•响应团队和角色(谁来做,如何做)•安全事件优先级和提升开发Ticketing活动,包括:与相关团队评估Ticketing要求准备SOCTicketing建议和要求•工作队列的角色/功能要求•工作流程自动化要求•SOCticket领域要求产生工作流程规范将Ticketing系统整合到安全事件响应流程中安全事件响应与Ticketing系统设计17©2017IBMCorporationIBMSecurity安全事件响应交付18©2017IBMCorporationIBMSecurity在SOC环境中建立威胁情报功能,这是在日常的SOC操作强制性的指导和协助SOC分析师进行分析,并与业务和风险办公室对接,确保在风险和威胁方面,维持用户暴露于最低限度不变。威胁情报功能设计与实施19©2017IBMCorporationIBMSecurityEmail20©2017IBMCorporationRFIsVendorfeedsIOCsQueriesVendorfeeds战术角度告警提升运营角度威胁情报报告支持安全事件响应威胁狩猎战略角度地缘分析利益相关者参与情报需求(收集)与SOC分析师和信息管理人员一起,战术分析师领导和负责分流入站的数据,提供威胁指标告警运营分析师领导和负责将威胁指标充实、调查(威胁狩猎),产生威胁情报报告,支持安全事件响应战略分析师领导和负责预测网络威胁,涉及地缘事件、威胁基准扫描、威胁情报报告和提供上下文直为对SOC提供支持威胁情报团队威胁情报分析工作应涵盖情报功能的完整连续性分流IBMSecuritySOC报告可以为业务提供良好的洞察力,确定其风险修复活动的优先次序。SOC报告设计与实施21©2017IBMCorporationIBMSecurity运营指标:财务指标组织人员指标–验证威胁总结–PCE•全部人员数/离职数/开–响应时间(队列等待时间)–每个威胁成本放职位–检测时间(从告警开始到事故–增值时间•供应商分配情况确认)–浪费•管理人员比例–全球/过去30天趋势–员工利用率•员工平均成本–地区/过去30天趋势•供应商成本平均–缺陷率–运营时间/有效性生产率–主动威胁分析•效率(可用人天/计划人天/实际工时)–流程能力–新的主动威胁检测计数22©2017IBMCorporation部分SOC运营度量指标IBMSecurity运营测试包括:•执行所有流程和技术相关单元或系统测试•执行SOC上线前测试以确保所有组件已经具备了在线运营条件测试,试点与过渡运行23©2017IBMCorporationIBMSecurity24©2017IBMCorporationIBMSecurity选择最佳的SOC模型取决于业务和技术的需求、风险和财务的约束集中化分散化业务要求全球单一SoC最低的成本简单的管理多个SOC(地理或布)成本高更难管理技术要求标准化简单的平台最低成本的实施和运作良好的风险管理能力易于规模经营关于威胁的适度细节高度定制复杂的平台实施/操作成本高优秀的风险管理能力更贵的规模经营关于威胁的丰富细节外部管理内部管理风险承受较短的实施周期执行/操作的最低成本不是核心业务利用行业最佳实践长实施周期实施和操作成本高核心业务频繁的评估财务限制低成本实施成本最低最低运营成本高成本实现成本最高最高运营成本25©2017IBMCorporationIBMSecurity一家全球性的制造企业26©2017IBMCorporationIBMSecurity某世界著名投行——把SOC的边界向外延伸27©2017IBMCorporationIBMSecurity成熟的安全运营中心有能力超越传统的威胁管理,成为管理一系列业务风险的协调点。SOC仍在持续发展从SOC转向JRAC(联合风险分析中心)•自动化已知的威胁处理•新的(未知)威胁的结构化处理方法•改善的报告和执行仪表板•操作技术风险管理•将威胁管理扩展到应用程序•保护核心业务流程(数字化)•欺诈•反洗钱•保护和捍卫品牌(社会媒体分析)•监控物联网与组织的相关性•协调企业对业务风险的反应28©2017IBMCorporationIBMSecurity谢谢~29©2017IBMCorporation©CopyrightIBMCorporation2016.Allrightsreserved.Theinformationcontainedinthesematerialsisprovidedforinformationalpurposesonly,andisprovidedASISwithoutwarrantyofanykind,expressorimplied.IBMshallnotberesponsibleforanydamagesarisingoutoftheuseof,orotherwiserelatedto,thesematerials.Nothingcontainedinthesematerialsisintendedto,norshallhavetheeffectof,creatinganywarrantiesorrepresentationsfromIBMoritssuppliersorlicensors,oralteringthetermsandconditionsoftheapplicablelicenseagreementgoverningtheuseofIBMsoftware.ReferencesinthesematerialstoIBMproducts,programs,orservicesdonotimplythattheywillbeavailableinallcountriesinwhichIBMoperates.Productreleasedatesand/orcapabilitiesreferencedinthesematerialsmaychangeatanytimeatIBM’ssolediscretionbasedonmarketopportunitiesorotherfactors,andarenotintendedtobeacommitmenttofutureproductorfeatureavailabilityinanyway.IBM,theIBMlogo,andotherIBMproductsandservicesaretrademarksoftheInternationalBusinessMachinesCorporation,intheUnitedStates,othercountriesorboth.Othercompany,product,orservicenamesm