如何建设 SOC 安全管理平台？这里有最佳实践

在早些年，每个人都依赖于SOC（包括防火墙，WAF，SIEM等），并且建立SOC的优先级提供了安全性并且CIA得以维护。

然而，随着网络攻击的出现，应对黑客行为变得越来越具有挑战性，现有的SOC将无法为CIA提供更好的安全保障，SOC故障的原因有很多，它只依赖于SIEM。

许多网络安全公司或者团队相信，在SIEM中集成防火墙、路由器、AV（Anti-Virus）和DB（数据库）安全解决方案等所有的安全设备以及相关的工具，这将为他们提供100%的数据安全。然而，这一切都失败了，因为APT攻击出现了。

这些年来APT攻击已经明确地显示出，在网络空间，组织应该实施0信任防御模式。

现有SOC失败的主要原因是，我们把焦点主要放在了暴力破解、失败登录、HTTP失败请求和恶意软件传播的案例上。

然而，我们必须了解到，当防御者开始提升时，攻击者也在以更强的方式进化着。

APT攻击者正在不断地发展和入侵我们经常使用的应用程序，并在未来数年的时间里不被发现。

APT的产生

APT（AdvancedPersistence Threat），这些攻击者并不是个人身份，他们大多是组织或是国家（基于政治等原因），拥有专业的团队。他们不是普通的专家，而是训练有素的专业人士，有可能闯入到任何系统之中，并在局域网中畅通无阻，而且多少年都可以逍遥法外。

即使你的防病毒软件也无法检测到这些行为，因为它们不会编写恶意软件，只是利用实际的应用程序（如PowerShell）并像真正的进程那样横向扩散。

APT的主要活动是，横向扩散、持久化、创建CnC通道、仅利用DNS请求获取有效负载等等。

迄今为止记录的每一次APT攻击都具有在网络中传播的一种独特方式，它们高度依赖于开放的网络端口、未受保护的网络区域、脆弱的应用程序、网络共享等等。一旦它们入侵成功，就会肆无忌惮地做任何想做的事了。

主动防御模式

对于任何现代网络攻击和APT攻击的防御观念，就应该站在“对手”的角度来思考并建立相应的防御机制。

为了建立安全防御模型，你应该了解对手的战术，他们是如何入侵的？它们是如何攻击的？它们是如何逃离的？

对于这些问题，Lock Martin的网络杀戮链和Mitre ATT＆CK可以更好地了解攻击。实际上就是，一个敌人是如何潜入到你的网络中的，以及他是如何安全地逃离的。还可以根据网络杀链的各个阶段，在现有的SOC中实现用例，这将为你提供有关网络攻击的新思路。

网络威胁情报

阻止IOC和IP并不能为你提供百分百的网络安全。最近的APT攻击已经在很大程度上进行了演变，不仅使用了DGA算法，并且还经常改变域名、使用VPN和TOR节点的IP地址源（DarkNet）、欺骗等方式。

据记载，到目前为止，由于恶意软件攻击、网络攻击、APT和TOR等原因，全球已有500万个IP地址被列入黑名单。

假设我们已经有了现成的SOC，是否还有必要在SIEM中设置一个监视500万个IP黑名单的监视列表呢？换句话说，我们需要阻止边界防火墙中黑名单上的500万个IP吗？

两者都属于防御行动计划，而不是事件应对。

APT攻击者正在利用各种技术，目的要彻底隐藏他们的痕迹，所以仅仅依赖于IOC（IP、域名、哈希值、URL）就不再有效了。这时，你就应该考虑TTP（战术，技术和程序，有时也称为工具，技术和程序）。

这些TTP在收集对手们使用的操作系统和网络数据包的信息方面起着至关重要的作用，基于这些信息，以特定的通信方式或特定的“dll”或“exe”为案例构建用例，从而提供应对攻击的思路。

同时也需要DarkNet情报，因为大部分被盗的数据都会在黑市上出售的，要么是为了钱，要么是为了进一步的隐藏。

威胁情报，也提供全球基于可用资源的威胁信息。许多OEM还提供各种威胁矩阵信息、使用的工具等等。

每天，你的情报团队不仅要收集有关IOC的信息，而且还必须争取获得有关新出现的IOA和IOE的详细信息。

APT攻击者在利用漏洞方面训练有素。因此，我们需要收集更多相关的信息，让漏洞为我方所控制和保护，并确保在被对方利用之前将其修复。

一个网络情报程序就是要揭示网络攻击者、攻击目标、攻击地点、攻击事件、攻击原因以及攻击方式。

策略和行为可以帮助确定攻击的内容和方式，有时还可以确定攻击的地点和时间。

网络威胁搜索

在收集了信息之后，我们必须进行搜索。网络威胁搜索是一种现代的方法学，其目的是要了解网络杀链或Mitre攻击，并搜索未知的攻击方式。

当了解了局域网中发生了什么，那么你就可以直接进入事件响应了。

当你怀疑一个事件的时候，先在局域网中查找未知变量（APT），这时威胁搜索就出现了。威胁搜索提供了对威胁向量的深入分析，你可以在事件发生之前缩小事件的影响范围。

在每一个安全组织中，都应成立威胁追查小组，并积极主动地追查可疑的事件，确保其不会成为安全事件或是黑客的攻击行为。

他们应该了解APT攻击的历史记录，并检查网络中的数据包。不要寻找已知的IOC，只是分析它们的传播方法。

到底要搜索什么呢？–示例

• 搜索网络信标
• 搜索系统内部权限升级
• 搜索异常的DNS请求
• 搜索异常的网络共享
• 搜索网络嗅探
• 搜索不匹配的Windows服务（父/子进程）
• 搜索权限升级-访问令牌操作
• 搜索UAC被旁路设置
• 搜索证书无效设置
• 搜索SMB管道信标
• 搜索隐蔽通道
• 搜索CnC流量
• 搜索阴影区
• 搜寻可疑的网络隧道

同样，在局域网中搜索也有几个条件。我们可以利用MitreATT&CK框架技术，检查APT攻击的历史记录，并尽量对它们进行了解。

我们可以将搜索方法映射到框架中，然后查看一下可以实现的程度。

在入侵的时间里，对手们会潜入你的网络中，嗅探每个区域、网络共享、数据库、网络协议、映射设置、路由表、薄弱点等。威胁搜索会帮助你找到任何网络攻击的横向扩散和持续活动行为。

事件响应

传统的事件响应提供了对事件（突发事件）的缓解和补救措施，而在事件发生之前，威胁搜索提供了对任何可疑的或重大的事件的认知和缓解方式。

在任何SOC中都绝对需要事件响应者以及响应团队，他们能够帮助缓解当前所发生事件的严重程度，并有助于解决已有的漏洞，这将可以摧毁攻击链，降低网络威胁的可能性。

IR团队应确保CIA不被破坏，并且数据没有被外泄。

事件响应团队还可以在其检查列表中部署网络杀链模型，并绘制攻击的途径。事件响应计划，可以通过描述如何最大程度地缩短安全事件的持续时间和减少造成的损失、确定利益相关者、简化分析、加快恢复时间、减少负面宣传报导，并最终提升公司高管、所有者和股东的信心，以扩大企业的利益。

现代SOC与专业技能

正如大家所看到和经历过的各种APT攻击和现代网络间谍活动，我们应该制定和创建一个更强大的网络安全战略。

这个模型提供了应对网络攻击的思路，因此我们需要一个拥有多种技能的专业团队。

特定的技能包括威胁搜索、开源威胁情报和DarkNet情报，主动事件处理程序和首先响应者、恶意软件研究者以及那些能够理解Windows架构和恶意软件行为的人。这些技能主要是为了保护网络免受入侵和攻击。

结论

网络弹性是一种持续发展的观点，正在迅速地获得广泛认可。这个概念本质上是将信息安全、业务连续性和（组织）弹性等领域结合在一起。

CyberSOC模型的概念是将威胁Intel、网络搜索、应急响应和SOC整合在一起，为组织提供复杂的安全结构阵列。这将更加有助于确定活动的优先级顺序，还可以帮助我们轻松地防御现代的网络攻击。该模型包括“自适应响应、分析监控、欺骗、情报、多样性、动态定位、基于现有策略的特权限制、重新调整关键任务和非关键服务/服务器、事件相关性以及快速响应”等关键要素。

它主要应对APT攻击的威胁，和提供对攻击及其潜在载体的深入剖析。

之前，“恶意软件”被归类为企图执行某些操作的脚本。但是，在一个APT或攻击者的POV中，他们很清楚当前网络的防病毒能力及其防御机制。

因此，他们不太依赖于脚本或是恶意软件，而是利用现有的应用程序，在没有被发现的情况下进行横向扩散。网络威胁搜索程序POV，无论是个体应用，或是在任何客户端里，还是在一个组织中不受重视的软件，这些易受攻击的点对于APT攻击来说都是非常有价值的。在威胁搜索程序的认知中，这些软件被视为恶意软件。

例如：除非服务器的admin用户需要，否则每个人都不能使用PowerShell。因此，在客户端中如果不禁用PowerShell的话，这将是一个漏洞，就很容易被攻击者所利用。

CyberSOC模型对于每个模块的部署都有5部分，即“威胁情报”、“网络搜索”、“SOC”、“事件响应”和“杀链模型”。

这5个部分是CyberSOC的支柱，它们可以根据组织策略单独进行维护或使用。但是，当出现可疑事件的时候，所有的信息都应该进行逻辑同步，并有效地利用每个模块。