Gartner发布安全运营指南：迈向卓越安全运营的 5 项举措

顶级组织通常会实施一套通用的安全运营活动，以实现成熟，但是，他们在应对快速发展的威胁方面仍然面临挑战。安全和风险管理领导者可以利用这五项举措来加强他们的网络防御工作，同时促进安全投资的更大回报。

主要发现

• 旨在提升威胁检测成果的安全运营（SecOps ）项目往往侧重于利用现有流程和工具识别新的威胁活动，在发现真正的未知威胁方面效果欠佳。面对当前复杂多变的威胁格局，企业机构必须采取更加复杂的方法才能隐藏难以发现的威胁。
• 针对身份系统的攻击正在增加，但身份和访问管理 (IAM) 仍然脱离安全运营的职责范围之外，这意味着大多数企业机构对于自身面临的此类威胁缺乏了解。
• 即使是对规模扩大和较成熟的企业机构而言，暴露面验证也属于新兴实践，尚未与安全运营实现有效的集成。这种情况往往会导致部分可能会受到威胁实施者利用的暴露面得不到解决，而负责实施安全防护的人员也无法就紧急的威胁做好检测和应对准备。

建议

致力于实施一流安全运营计划的安全和风险管理 (SRM) 领导者应该：

• 采取综合性的威胁检测方法，通过实施基于对风险的充分了解和构建的威胁检测生命周期，实现全面的威胁可见性，从而找出最有可能引发严重业务中断的威胁。
• 将暴露面管理、身份威胁检测与响应（ITDR ）和身份威胁狩猎等涉及到的IAM工作纳入安全运营，将身份防护作为网络安全防护的重点。
• 实施威胁情报生命周期，提高企业机构范围内威胁检测和干预工作的成果。
• 构建威胁狩猎能力，加强7x24防护监控，攻击场景者驻留时间。
• 创建进攻性安全项目，组建小型红队，并在威胁面管理项目中引入网络安全验证。推动进攻性和防御性安全举措之间的协调。

介绍

大多数组织都希望发展其安全运营职能，但由于资源限制、缺乏战略眼光导致决策熵或陷入过度劳累但交付不足的能力的洪流中，他们面临困难。例如，威胁检测和事件响应是具有挑战性的任务，需要的不仅仅是临时实施才能有效。顶级组织通常实施历史上具有传统性质的类似做法，可能无法识别新的或正在出现的风险。

Gartner 确定了五项举措（包括基础类别和高级类别），安全运营领导者应将其纳入其两到三年的路线图中：

1. 采用威胁检测生命周期

2. 将身份防御集成到 SecOps 中

3. 加强威胁情报行动

4. 执行威胁狩猎

5. 将攻击性安全集成到 SecOps 中

尽管包括更好的身份背景、管理威胁检测生命周期和实施威胁情报是基本举措，但随着组织对残余风险和盲点的容忍度降低，安全运营还应该解决更先进的威胁狩猎和进攻性安全方法。

当然，先进的安全运营活动并不缺乏。例如，数字取证是事件响应计划可能努力建立的一项高级安全运营中心 (SOC) 计划。然而，这项研究重点关注五项举措，这些举措被认为可以在对迫在眉睫的威胁做出更快反应和建立主动性基础方面提供最佳投资回报率。

分析

1****、将威胁检测从时间点发展为托管生命周期

由于对威胁检测生命周期的管理不力，SOC 经常被告警淹没。他们要么不信任安全提供商的威胁检测技术，要么根本没有收集正确的数据来启用相关告警。

超过 40% 的接受调查的 SOC 将其最大的挑战列为缺乏背景、缺乏企业范围的可见性、缺乏流程手册、缺乏工具集成和告警疲劳

—**来源：SANS 2023 SOC 调查

SRM 领导者，尤其是负责安全运营的领导者，应该实施威胁检测的生命周期框架，涵盖内容开发的所有七个阶段，从识别需求到部署。与整个企业的 SRM 利益相关者协作，确保根据战略优先事项和目标管理后续可见性、检测逻辑、目标和报告。此生命周期应定义角色和职责（持续执行），以保持 SOC 在战略上与业务保持一致（参见图 1）。

图 1：SecOps 内容开发生命周期

为威胁检测和响应提供结构和规划是 SOC 成熟的基础。仅遵循图 1 中的步骤就可以在检测效率、响应速度和准确性方面带来好处，甚至可以节省与日志管理和违规恢复工作相关的成本。

确定需求

安全运营可以获取看似无限量的数据（即工作站、服务器、应用程序、云工作负载、数据库、移动设备等），可以分析这些数据的多种方式，但有效确定优先级的方法很少。为克服这些挑战，安全运营领导者必须采取的第一步是征求相关利益相关者的要求。使用业务领导层的输入来填补知识空白，以帮助集中组织的威胁检测工作。

建议采取的行动：

• 将业务风险与当前的可见性和检测功能进行映射，并根据已识别的差距确定检测改进的优先级。
• 从平均检测时间(MTTD)等运营统计数据扩展到更相关的结果驱动指标。

这个初始阶段必须正式化并进行管理，以确保根据威胁检测计划进行的投资的可防御性。创建一个委员会，记录批准的要求，与利益相关者会面并向他们提供相关反馈。

模型用例

尽管有许多方法和框架可以对用例或威胁进行建模（即NIST 、hTMM 、LINDDUN 、DREAD 、PASTA 、STRIDE 、TRIKE 、VAST等），但安全团队必须采取两个基本流程才能有效：映射业务环境并评估相关威胁形势。

建议采取的行动：

• 通过集中和维护 IT 和安全文档（网络图、数据和业务流程、资产库存和关键利益相关者）来提高可见性。
• 确保其他安全运营人员能够访问并利用这个统一的“事实来源”。
• 考虑替代视图，例如攻击路径图和易受攻击的“阻塞点”来识别日志源收集点。
• 从攻击者的角度来确定监视内容和监视方式的优先级。

然而，业务环境只是等式的一半。构建全面生命周期的第二个支柱是将对威胁参与者和攻击活动的见解整合到暴露补救计划中，并作为威胁检测和事件响应的附加背景。

识别数据源并参与检测工程

检测工程师应直接与安全运营合作，识别正确的日志源并实施完整的提取、转换和加载 (ETL)。在某些情况下，他们还必须将逻辑构建到安全信息和事件管理 ( SIEM ) 平台中，以检测预定义的威胁条件。这些工程师对该过程至关重要，因为他们最终负责与产品或资产所有者合作以实现适当的日志记录级别。他们还确保所需信息在传送到SIEM 并最终传送到分析师处理告警时采用易于理解的格式。

建议采取的行动：

• 参与检测工程功能。如果该职位已经存在，则构建一个协作工作流程来识别需求、测试和监控新的检测。如果没有，那就开始吧，即使是作为一份兼职工作。

创建或完善检测和响应流程

安全运营领导层必须确保有适当的行动手册，供分析师和响应人员对新发现做出反应。将这些流程编入检测和响应标准操作流程 (SOP) 中。SOP 应详细说明用例是什么，以及分析师或调查员在收到相应告警时应如何响应。定义明确的 SOP 可以作为创建可用于安全编排和自动响应 (SOAR) 工具等解决方案的自动化手册的良好基础，以实现持续的性能效率。

建议采取的行动：

• 为检测分析师和事件响应人员制定 SOP，以有效调查和解决安全漏洞。
• 定期测试这些 SOP，评估其性能并确定调整其功效的机会。
• 从商品调查开始，为经过测试的 SOP 构建自动化工作流程以优化效率。

集成到生产中

尽管在将新用例部署到生产环境中时存在许多考虑因素，但有两个突出的因素：成本和就绪性。

新的用例通常会产生与 CPU 利用率增加、存储增加、查询负载、API 查询等相关的额外成本。在发布到生产环境之前，必须识别并接受这些因素，以便安全主管可以估计与特定风险相关的成本，而不会措手不及。

准备情况也必须考虑在内，因为新的检测逻辑通常会给 Defender 工作负载带来负担。安全领导者必须跟踪和报告相关指标，以了解这些用例如何影响运营准备情况。随着时间的流逝，这些指标可能有助于证明增加预算以增加或加强人员配备或只是重组的合理性。

建议采取的行动：

• 评估与将新威胁检测逻辑发布到生产环境相关的成本，以避免产生意外成本。
• 更新新用例的检测和响应程序，创建优化告警分类和响应的调查知识库。

2、将身份防御融入安全运营中

根据 2023 年 Verizon DBIR 报告，当今绝大多数数据泄露行为都包含人为因素，其中近一半的违规行为涉及凭证。尽管被盗凭证仍然是主要的攻击媒介之一，但传统 SOC 环境中用于保护组织免受身份滥用的流程、技能和工具仍然存在巨大差距。

我们将其中许多差距归因于 IAM 和 安全运营之间的历史差异。长期以来，IAM 一直被视为一种预防性控制，通过实施技术和服务来提供“受保护”的身份。另一方面，安全运营负责运营 SOC，其主要职责是检测和响应威胁。然而，当今大多数 SOC 在检测特定身份威胁方面的覆盖深度有限（见图 2）。当大多数威胁活动依赖于滥用身份来取得成功时，这种差异就会成为问题，最终导致关键的威胁检测盲点。

图 2：IAM 和 SecOps 控制之间的差异

建议采取的行动：

• 定义身份威胁检测和响应规则并选举 SOC冠军。

o SOC团队最终负责 ITDR 流程定义，并根据利益相关者的要求执行并集成到现有 SOC 流程中。

o IAM 领导者负责将 ITDR 计划纳入更大的 IAM 计划，包括影响结果的预防和相关指标。

o ITDR SOC 拥护者必须平衡这两个优先事项，并通过成为 SOC 和 ITDR 所有者之间的接口来培养融合团队的素质。

• 利用身份上下文增强检测、响应和情报运营。

o 与检测工程师合作，加强对身份系统的监控。不仅仅是活动目录 (AD) 监控。AD 威胁检测和响应仅关注 AD 威胁，而 ITDR 还包括对其他类型 IAM 系统和工具的更广泛的身份威胁的检测和响应，包括用于访问管理的系统和工具（如Okta、Ping Identity、 ForgeRock、Microsoft Entra ID）、IGA（Sailpoint、Saviynt）、身份验证（Cisco Duo）和 PAM（CyberArk、BeyondTrust）。

o 选择身份告警关联的焦点，包括身份策略、技术和程序 (TTP)。采用用户行为分析、妥协指标以及访问管理工具中存在的其他机制（例如自适应访问或身份验证）来增强这些检测技术。

o 构建事件响应手册和自动化，将 IAM 实施纳入消除、恢复、报告和补救威胁所采取的步骤中。

o 利用数字风险保护服务来监控深层网络、暗网和社交媒体渠道是否存在泄露、滥用或不当使用的企业凭证和公司帐户。在泄露的凭据被用来攻击组织之前，主动识别并修复这些凭据。

• 将身份注册作为减少攻击面策略的一部分。

o 盘点现有的预防控制措施并审核 IAM基础设施是否存在配置错误、漏洞和风险。

o 评估身份的有效性、规定和行为，包括意外或异常活动的特权。

o 进行旨在或包括模拟身份攻击的进攻性安全测试。包括帐户接管、特权升级路径和横向移动，作为更大的风险管理或网络安全验证计划的一部分。

o 采用提供攻击路径映射可视化的技术，说明到关键业务流程的基于身份的扩散路径，以实现权利补救优先级。

3、实现有效的威胁情报运营

对于许多安全计划来说，了解从哪里开始或如何成熟其威胁情报 (TI) 能力仍然是一个谜。然而，在缺乏优先情报要求 ( PIR) 的情况下，值得考虑 TI 能力的演变，从被动地丰富妥协指标到主动地对威胁活动进行战略评估。这些 TI 功能通常需要不同的服务、技能集和报告协议。

建议采取的行动：

• 定义 PIR 以正式化您的 TI 计划，并作为策划收集、分析和报告的基础。
• 使用需求对现有产品和服务进行差距分析，同时调整采购工作并筛选充分满足需求所需的供应商。
• 衡量威胁情报计划的性能并评估情报本身的有效性，以保护预算并继续成熟。

4、建立威胁追踪实践

威胁狩猎是一项补充活动，它提供了广泛的好处，从在造成破坏之前检测威胁到评估特定网络的安全状况。然而，应该以一定程度的形式和流程进行，以避免常见的陷阱。威胁狩猎旨在主动发现可能规避现有安全控制的威胁。因此，使用最少的假设和有限的限制有条不紊地进行这些练习。因此，在执行任何狩猎之前，计划至关重要。

图 3：威胁狩猎流程

建议采取的行动：

• 制定计划。为了获得最大收益，请定期或全年连续进行狩猎。尽管其他事件可以刺激临时评估，但请提前计划核心演练。制定一个包括每次狩猎的日期和持续时间的活动时间表。这些应该类似于项目计划，其中包含每次狩猎的时间顺序。
• 为狩猎播种。将狩猎方法中的假设保持在最低限度，以确保不会过度缩小光圈并产生盲点。然而，应该建立一个可信的假设，狩猎的结果将提供答案。开展评估的方法有很多种，但表 1 提供了可以从何处开始的简明列表：

表1 ：威胁狩猎种子示例

种子

使用范围

威胁情报

识别针对行业或技术的威胁行为者活动。使用相关指标和/或 TTP 开始狩猎。

告警趋势

识别安全设备产生的任何可疑或邪恶趋势，包括 SIEM 告警，例如侦察活动、重复受害者、重复攻击者、不良安全卫生和事件趋势。

商业风险

确定将从妥协评估中受益的关键业务应用程序/系统。

身份数据

分析从身份卫生和安全态势管理工具收集的身份数据，包括来自 IGA、PAM 和 CIEM 工具的最低权限报告的结果。Bloodhound 等一些工具还可能提供特定的威胁狩猎功能。

关键暴露

使用漏洞管理、攻击面管理、网络安全验证或暴露管理计划中的高风险暴露来识别潜在的起点。

• 执行。狩猎过程自然会利用工具，但重点应该放在数据上。运营商应集中精力使用组织可用的任何工具来分析范围技术环境内所有来源的数据。分析应采用调查方法来证明或反驳假设。这种与传统威胁检测方法截然不同的思维方式转变使得狩猎更像是一门艺术而不是一门科学。
• 学习、报告和修复。运营者应以折衷评估报告结束每次狩猎活动，该报告最终是一份干净的健康清单或事件响应，包括以下要点：

o 安全卫生差

o 记录/可见性差距

o 威胁检测（用例）差距

威胁狩猎者必须与业务利益相关者（即部门负责人、产品所有者、安全领导者、风险经理等）合作，在每次狩猎结束时升级这些发现以进行补救。使用这些建议不仅可以进行快速战术调整（即禁用不安全的端口/协议），还可以进行长期战略修复（即实施安全远程访问）。

5、将进攻性安全集成到安全运营中

企业可以努力将攻击性安全集成到其 SOC 中的方法之一是开发紫队计划，该计划将防御者与攻击性安全团队聚集在一起，共同执行组织响应，同时验证安全控制的有效性。

典型的紫队由蓝队成员和红队成员组成。蓝队队员是监督威胁检测和事件响应的防御者，而红队队员则负责进攻性安全测试。大多数组织将不得不启动真正的红队计划，以超越合规性渗透测试。

建议采取的行动：

• 首先建立一支红队，确保拥有专用的资源和能力来实现目标，即使它们很小或部分外部化。将红队的任务定义为采取攻击者的观点非常重要，而且在准备好后，为更成熟和要求更高的紫队练习做出贡献。
• 确定评估范围，预先设定期望并确保与寻求实现的结果保持一致。
• 准备技术环境。做出必要的准备，充分配置攻击者和目标基础设施，以成功执行。
• 促进进攻性安全团队和网络防御者之间的协作，以识别安全弱点，同时评估现有威胁检测逻辑和测试响应程序。
• 进行事后审查。这是真实条件下压力测试得出的真实差距分析，尽管是受控和计划的。优先考虑这些发现，因为它们可能会给企业带来高风险。