安全运营能力成熟度模型
发布时间:2021-11-06 12:41:55 所属栏目:动态 来源:互联网
导读:安全运营中心(SOC)不管是只有两到三人的虚拟团队,还是配备了7X24小时的全天候运营团队,评估安全运营能力都将有助于提升安全威胁的检测时间(MTTD)和相应时间。 为此安全厂商LogRhythm开发了安全运营成熟度模型(SOMM),该模型阐述了如何测量安全运营的
|
安全运营中心(SOC)不管是只有两到三人的虚拟团队,还是配备了7X24小时的全天候运营团队,评估安全运营能力都将有助于提升安全威胁的检测时间(MTTD)和相应时间。 为此安全厂商LogRhythm开发了安全运营成熟度模型(SOMM),该模型阐述了如何测量安全运营的有效性,帮助企业了解并改进安全运营水平,最终提高对安全威胁的应对能力。 安全运营成熟度有五个级别,每个级别都建立在先前的基础上,通过改进技术和流程的能力,提供安全运营成熟度。随着成熟度的提高,可以提升安全运营的效率,获得更快的MTTR和MTTD,从本质上降低发生高影响安全事件的风险。 下图提供了随着成熟度提高MTTD/MTTR降低的示例: 安全成熟度模型从安全运营能力、组织特征、风险特征三个方面进行每个能力级别的描述,定义了每一能力级别应实现的关键技术和工作流程能力,以支持安全运营体系评估、规划与改进。 LEVEL 0初始级 LEVEL 0 是初始级,基本特征为:1)无安全运营能力;2)无适当的流程;3)被动流程。 ▼▼安全运营能力 无 ▼▼组织特征 预防导向(例如:防火墙、防病毒等) 基于技术与职能部门的孤岛日志;无集中日志可见性 威胁与失陷指标存在,它们不可见,同时没有进行威胁猎捕披露它们 没有正式的安全事件响应流程;依靠个人经验作出响应 ▼▼风险特征 不合规 无法察觉所有内部威胁 无法察觉所有外部威胁 无法察觉高级持续性威胁(APT) IP可能被窃取(如果对国家与网络犯罪有兴趣) LEVEL 1 是最小合规级,基本特征为:1)最小安全运营能力;2)无正式安全事件响应流程;3)合规驱动资源投入。 LEVEL 1最小合规级 ▼▼安全运营能力 按强制要求对日志(log)与事件(event)进行集中化管理 按强制要求以合规为中心进行服务器取证,比如文件完整性监控(FIM)与端点检测响应(EDR) 最小化合规强制要求监控与响应 ▼▼组织特征 合规驱动资源投入或已经识别需要保护环境的特定领域 通过报告评审发现合规风险;管理违规流程可能存在,也可能不存在 提高受保护区域威胁的可见性;但缺乏人员和流程进行有效威胁评价及优先级排序 没有正式的安全事件响应流程;依靠个人经验作出响应 ▼▼风险特征 显著降低合规风险(取决于审计的深度) 无法察觉大部分内部威胁 无法察觉大部分外部威胁 无法察觉高级持续性威胁(APT) IP可能被窃取(如果对国家与网络犯罪有兴趣) LEVEL 2稳妥合规级 LEVEL 2 是稳妥合规级,基本特征为:1)基本安全运营能力;2)被动并且手工的工作流程;3)基本监控与响应流程。 ▼▼安全运营能力 目标驱动日志(log)与事件(event)进行集中化管理 目标驱动服务器与端点取证 目标驱动环境风险特征 被动、手工脆弱性情报工作流程 被动、手工威胁性情报工作流程 基础性机器关联分析与告警优先级 建立基础性监控与响应流程 ▼▼组织特征 超越最低限度复选框合规,寻求效率和改进保证 已经认识到组织无法察觉大多数威胁;致力于实际的改进,以检测和响应高风险威胁,重点关注高风险领域 已经建立正式的流程并分配监控和高风险告警职责 建立基本但正式的安全事件响应流程 ▼▼风险特征 极具韧性并且高效的合规状态 对内部威胁具有良好的可见性,但存在部分盲点 对外部威胁具有良好的可见性,但存在部分盲点 大多数情况无法察觉高级持续性威胁(APT),但有可能检测到APT的指标和证据 除了那些利用APT类型攻击或针对盲点的攻击外,对网络犯罪具有更大的韧性 更容易受到国家的打击 LEVEL 3 是警觉级,基本特征为:1)正式监控与响应流程;2)面向调查与缓解工作流程的自动化;3)持续的安全运营实践。▼▼安全运营能力 LEVEL 3警觉级 全面的日志(log)与事件(event)进行集中化管理 全面的服务器与端点取证 目标驱动网络取证 基于IOC威胁情报整合到安全分析与工作流中 全面的脆弱性基础关联分析以及工作流整合 针对已知威胁检测的基于IOC与TTP场景分析与高级机器分析 目标驱动的异常检测机器分析(例如:通过行为分析) 正式、成熟的监控与响应流程,以及针对通用威胁的标准剧本 建立运转的实体或虚拟SOC 针对威胁调查工作流的案例管理 目标驱动自动化调查与缓解工作流 基础性MTTD/MTTR运营指标 ▼▼组织特征 已经认识到组织无法察觉很多高影响威胁 已经在组织流程与员工数量上进行了投入,以显著改善所有类型威胁的检测与响应能力 已经投入资源建设正式的安全运营与安全事件响应中心(SOC),并且由训练有素的员工进行有效运营 针对告警进行有效地监控,并且进而能够进行主动威胁猎捕 利用自动化改进威胁调查与安全事件响应流程的效率与速度 ▼▼风险特征 极具韧性并且高效的合规状态 对内部威胁高度可见性并且快速响应 对外部威胁高度可见性并且快速响应 对APT具有良好的可见性,但存在盲点 对网络犯罪具有很强的韧性,除了针对盲点的APT攻击 仍然容易受到国家打击,但很大可能更早的检测并且更快速的响应 LEVEL 4韧性级 LEVEL 4 是韧性级,基本特征为:1)高级文档化响应流程;2)自动化威胁鉴定、调查以及响应流程;3)完全自主自动化--从鉴定到缓解。 ▼▼安全运营能力 全面的日志(log)与事件(event)进行集中化管理 全面的服务器与端点取证 全面网络取证 基于行业特定的IOC与TTP威胁情报整合到安全分析与工作流中 全面脆弱性情报高级关联分析以及自动化工作流整合 针对已知威胁检测的基于IOC与TTP高级场景机器分析 针对全面异常检测的高级机器分析(例如:通过基于AI/ML的全方位行为分析) 建立文档化、成熟的响应流程,以及针对高级威胁(例如:APT)的标准剧本 建立24/7运转的实体或虚拟SOC 跨组织案例协作与自动化 调查、缓解工作流全面自动化 针对通用威胁从鉴定到缓解的完全自主自动化 高级MTTD/MTTR运营指标以及历史趋势 ▼▼组织特征 是国家、网络恐怖分子、犯罪组织的高价值目标 遭受所有途径的持续性攻击:物理的,逻辑的,社会的 无法容忍服务终端与违约,这意味着最高级别组织失败 总体来说,对威胁管理和安全采取积极主动的态度 投入一流的人员、技术和流程 在组织与运营冗余的情况下进行24/7的告警监控 具有广泛地主动威胁预测与威胁猎捕能力 尽可能自动化进行威胁鉴定、调查以及响应流程 ▼▼风险特征 极具韧性并且高效的合规状态 发现所有类型威胁并能快速响应 在网络攻击生命周期早期发现高级持续性威胁(APT)的证据,并能够战略地管理其活动 对所有类型的网络犯罪都具有很强的韧性 能够承受并且定于大多数极端国家级对手 (编辑:淮安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
