首页 > 其他分享 >11、安全运营中心需要提升的核心能力

11、安全运营中心需要提升的核心能力

时间:2023-03-09 09:56:57浏览次数:40  
标签:11 威胁 单点 响应 核心 运营 安全 检测

转载公众号《微言晓意》,仅用于个人学习

根据NIST Cybersecurity Framework,网络安全工作可以分为识别、防御、检测、响应、恢复五个大的阶段,安全建设在识别、防御、恢复三个阶段成熟度已经比较高了,相比之下检测、响应是当前安全能力短板。

 

在检测方面,目前多是以单点检测为主,检测的误报率较高,有效的告警信息被淹没在海量的无效告警中;同时,传统单点检测设备检测能力有限,很难检测未知威胁与潜伏威胁。

在响应方面,目前多是以应急预案为主,与恢复阶段的内容结合的比较紧密,多是事后的恢复类响应,针对实时检测出的威胁事件的针对性响应不足,主动式响应能力不足。

再进一步说,识别、防御、检测、响应、恢复没有通过技术手段真正联动起来。包括安全检测与分析对于实时自动化风险分析贡献不足,以及在响应的过程中也没有与识别与防御能力进行联动。

正因如此,安全运营中心建设智能中枢或者安全大脑,其核心能力主要包括四个,包括1、精准定位已知威胁;2、深度检测未知威胁;3、丰富安全事件场景;4、辅助安全运营决策。

 

 

1、精准定位已知威胁:单点安全检测设备能够产生有价值的告警,但往往被低质量的告警所淹没了,所以需要从海量数据中进行精准定位。

2、深度检测未知威胁:单点安全设备检测高级威胁、未知威胁能力有限,同时安全威胁已经扩展到用户行为、业务异常等领域,所以要弥补单点安全设备检测能力短板。

3、丰富安全事件场景:利用事件(Event)、日志(Log)产生告警(Alert),再进一步聚合成安全事件(Incident),以及整合资产、漏洞、威胁等上下文数据,明确攻击链条、事件时间线以及风险等级。

4、辅助安全运营决策:针对安全事件能够清晰的描述发生了什么?为什么发生?未来会不会发生?该如何应对?为进一步的安全响应,以及安全防御措施完善,提供决策指导。

至于现在比较火热的SOAR,Securonix的一张方案图比较直观,可以看出中间环节做好了,才能进行安全响应处置,安全响应处置流程标准化了,才能进行安全编排与自动化响应,SOAR目的是减少人工参与,提高运营效率的手段。

 

另外,Securonix SOAR的这张图挺有意思的,可以解读出来很多信息,有机会以后再谈。

标签:11,威胁,单点,响应,核心,运营,安全,检测
From: https://www.cnblogs.com/qinke/p/17197206.html

相关文章

  • 12、安全运营中心应该如何进行数据收集?
    关于安全运营中心到底应该如何收集数据的问题,起初很多人认为应该收集尽可能多的全量数据,但也有人认为收集那么多数据占用很多资源,有些数据收集上来又没有什么用,主张需要什......
  • 实现一个简单的Database11(译文)
    GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源。GreatSQL是MySQL的国产分支版本,使用上与MySQL一致。作者:花家舍文章来源:GreatSQL社区原创前......
  • 【811】R语言data.frame相关方法
    参考:R语言提取数据框data.frame的行名和列名参考:RData.frame删除某一列参考:R-按照行名或列名删除对应的行列1.获取所有行和所有列信息R语言中很多数据是data.frame......
  • ES6-ES11 ES6的数值扩展
    <!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1.0"><title>数值扩......
  • 11.数据库行锁
    定义介绍:行锁偏向innoDB存储引擎,开销大,加锁慢;会出现死锁;锁定粒度最小,发生锁冲突的概率最低,并发度也最高。InnoDB与MyISAM的最大不同有两点:一是支持事务(TRANSACTION)......
  • ES6-ES11 对象方法扩展
    <!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1.0"><title>对象方......
  • 基础11:约束
    一、约束(constraint)概述1.1为什么需要约束数据完整性(DataIntegrity)是指数据的精确性(Accuracy)和可靠性(Reliability)。它是防止数据库中存在不符合语义规定的数据和防......
  • 自己动手从零写桌面操作系统GrapeOS系列教程——11.MBR介绍
    学习操作系统原理最好的方法是自己写一个简单的操作系统。前面我们介绍过电脑的启动过程:上电->BIOS->MBR(boot)->loader->kernel->交互界面(图形/命令行)本讲我们要介......
  • 每日一题11
    每日一题11题目:121.买卖股票的最佳时机思路:找出最低值,然后再找出其后的最高值即可!classSolution{publicintmaxProfit(int[]prices){intmax=0;......
  • ES6-ES11 class中getter和setter设置
    <!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1.0"><title>get和......