隨著網路威脅推陳出新,既有的監控機制也與時俱進。對於未來資安監控中心的發展,在這次封面故事中,我們找了幾家臺灣SOC委外服務廠商,包括:安碁資訊、數聯資安,以及雲端大廠微軟與Google,共同探討近期SOC在雲端監控的態勢,以及SOAR的應用發展潮流。
在2023年,隨著企業上雲比率增加的現況,以及SOC資安監控中心平臺採用的持續擴張,加上資安產品及技術也持續不斷在進步,這次我們從這幾家業者觀察到3個重點態勢。
首先,不僅是威脅情資帶來更多幫助,現在EDR、NDR、XDR日誌的「含金量」,比早期資安設備來得高,有了這三者應該就能涵蓋監控全貌,讓警示的可信度提升,對於即時資安威脅監控有很大的幫助。
要注意的是,雖然EDR經過多年的市場推動,企業組織接受度越來越高,但像是NDR這類解決方案相對偏貴,若能普及將會帶來很大的幫助。
其次,在上述Cloud SOC的探討中,我們可以看到兩個面向的發展,一種是SOC for Cloud,尤其是最近兩年,臺灣有越來越高比例的企業上雲,對於SOC團隊而言,在個別的雲端環境或橫跨多雲的環境,要監控哪些對象與活動將是關鍵;一種是SOC on Cloud,特別是雲原生SIEM產品的出現。再加上,現在大家普遍看中雲地混合的應用態勢,因此資安監控也正朝此方面邁進。
此外,目前已出現針對雲端環境的威脅偵測與應變方案(Cloud Detection and Response,CDR),從近年雲端安全相關的產品與服務來看,也出現多種類型防護與管理工具,例如,雲端原生應用程式防護平臺(Cloud Native Application Protection Platform,CNAPP),雲端安全態勢管理(Cloud Security Posture Management,CSPM),以及雲端工作負載保護平臺(Cloud Workload Protection Platform,CWPP)。
之所有會有發展出這麼多生態系,也突顯大家對於雲端環境的重視,促使雲端相關安全監控、合規檢視、威脅偵測的持續發展。
第三,在SOAR的技術發展上,也要注意應用成熟度,畢竟,如果只是簡單的自動規則設定,過去其實就能做到,如何深化應用更會是重點。整體而言,SOAR對於自動化發展仍有其代表性意義,例如,可以讓大家更認真面對資安自動化、更有意識地進行資安自動化。
同時,SOAR在AI的幫助下,也將幫助解決告警疲勞、避免攻擊雜訊干擾,以及因應人力不足的問題,簡化了搜尋、複雜資料分析,以及威脅偵測,像是一但發生異常事件,AI可以幫助自動總結、分類與產出,像是總結威脅情資的資訊,辨識惡意程式以分類,以及根據監控規則的特殊語法產生SOAR腳本等。
美國MITRE組織提出打造先進SOC的11大策略,溝通的重要性
在SOC發展上,我們注意到資安機構MITRE去年3月底發布一份重要文件,名為《世界一流網路安全維運中心的11個策略》(11 Strategies of a World-Class Cybersecurity Operations Center),可供企業參考,為了幫助大家了解,我們也特別詢問Google,請他們分析當中的重點。
Google Cloud客戶解決方案架構師鄭家明指出,第5章的關鍵在於事件處理應對的優先順序,第6章談到威脅情資,再到第8章的流程管理、第9章的溝通,以及第10章的效能,都跟這次我們與幾家廠商談到的內容相互對應。
舉例來說,第6章以網路威脅情資揭示對手的行動,也就是朝向主動式監控;第8章關於利用工具來幫助分析師的工作流程,也就是從手動方式進步到自動化SOAR,且Playbook自動化腳本的概念也受看重;第10章談到SOC效能評估,就是要做到持續精進。鄭家明希望大家想想看,每年阻擋的攻擊活動多,就代表有效嗎?還是要看流程做了多少自動化,在可視性方面,增加多少種Log類型?讓整體資安狀態的能見度變高。
特別的是,關於第9章的溝通,也相當重要,但比較少被突顯。例如,當資安團隊獲得威脅情資,不只是資安團隊需要這些資訊,像是漏洞等資訊,應該也要與軟體開發團隊溝通,與維運團隊溝通,讓他們也能夠注意,而且溝通是相互的,像是其他團隊可能正導入K8S,那監控團隊也要去瞭解容器的威脅,瞭解監控的目標。
熱門新聞
2024-11-12
2024-11-10
2024-11-10
2024-11-11
2024-11-11
2024-11-12