SOC成为安全基础支撑:但需要大数据结合AI来辅助分析 – 安全牛

大数据、智能机器和分析工具,都需要人来掌舵。

随着高针对性网络攻击成为新常态,公司企业逐渐发现,以往没什么存在感的安全运营中心(SOC),真真切切成了公司的坚实依靠。

SOC以各种形态存在了数十年,最近几年才因企业地理分布和技术组成的日趋复杂对集中安全监视有需求,而蓬勃发展起来。

将专业技能集中到一个地方,或者跨区域虚拟化它们,可以很好地应对安全威胁的快速增长。

但在已知安全威胁逐渐让位于全新未知威胁的世界里,使用传统工具和产品并不能取得曾经的辉煌战果。

尽管很多成功的安全突破案例是以相对简单的技术和常见漏洞实现的,但结合了这些常用技术与未知漏洞的新型攻击出现的概率也已大幅增加。

很难估测新攻击涌现的规模,但未知威胁可以是非预期内部人攻击,也可以是内部凭证滥用,或者是几个零日软件漏洞利用。

从SOC的角度看,最近的例子就是2017年影响了多个行业数千家公司企业的WannaCry和NotPetya攻击了。

面对攻击,SOC的有效性以响应、缓解和清除来衡量。

在几分钟甚或几秒内做出反应是有差别的,安全响应计划的质量也决定着SOC的有用程度。

检测不再是唯一的博弈;SOC需要快速响应,否则将陷入长期应付各种混乱的泥潭,难以脱身。

AI应用正当时

现实如此艰难,我们毫不意外顶着AI名头的各种技术好像救世主一样带着不甚明朗的种种承诺渐次降临。

传统SOC依靠各层安全传感器及系统,所有这些传感器和系统都会产生日志和事件之类的信息。

多年来对这些信息的处理,都是尽可能地导入安全信息及事件管理(SIEM)之类系统所用的存储库中。

随着事件和日志数据的增长,分析与决策的复杂度也在上升,进而导致威胁检测与响应时间上的挑战。

但如今响应时间就是一切,因为公司企业必须接受自己终会被攻破的事实。

这就让公司企业在可产生过多误报的过度检测与导致漏报的检测不足之间坐立难安了。

而且,检测、分类、响应和必要时升级威胁事件的人才需求,还在进一步恶化本就极度短缺的安全人才供应现状。

AI,更确切的说,机器学习和大数据分析,被认为是走出这一泥沼的通途——因为AI可以做到人们用SIEM难以做到的事,也就是自动化快速关联并识别异常。

问题在于,AI不是一种标准化技术,而是一组概念和算法,人们很难区分市面上主打AI牌的产品到底是不是概念炒作。

如果非要给AI重新定义一下,或许叫“增强智能”更合适。

人工智能这个概念太容易被误解了。

真正与SOC相关的部分,是大数据结合AI来辅助分析。

除了响应,AI的另一个重要好处,是可以学得更快(或者说,是可以学习)——说回到我们上面提及的未知威胁问题上了。

网络攻击一直在进化,运用各种不同方法找寻并利用漏洞,但这种进化终归是渐进式的。

如果可以用AI分析器来理解这些微小改变中蕴含的深层模式,防御者就能发现跟上攻击进化脚步的方法。

异常响应

究其核心,SOC安全有赖于异常识别——发现不正常或非预期的孤立数据点。

工具、过程、人力响应等等全基于此。

但异常不仅仅各网络、各设备、各系统不同,还是不可避免的。

个别用户的大部分异常行为,或其产生的网络流量,往往都是完全无辜的。

反而正常流量中也可隐藏有攻击者滥用被盗特权凭证所制造的异常流量。

传统边界安全方法非常难以发现这种异常,因为此类顶着特权凭证保护伞的异常流量看起来完全合法。

想要在SOC中有效使用AI,需要建立起综合考虑各种因素的基线以识别异常。

理论上,有必要基于多个数据点而非单一用户或资源来建立基线。

AI的强大之处在于,可用于定义基线和偏离值的数据点在理论上是没有任何限制的。

AI引入的是学习的能力,也就是随时间进程不断调整这些参数的能力。

AI将能分辨出这些异常是否是安全团队需要关注的。

但如果安全人员突然发现有异常是误报,那AI系统就应反馈给分析系统,告诉分析系统此类异常是预期行为,不用报告。

这其中不可替代的一个角色,是人类决策者,包括从检测、响应、缓解到高级取证的各层人才。

AI可以向他们报告问题,但还不能告诉他们该怎么做。

AI不是神,搞不出机器全权接管网络防御工作的神奇转变。

它就是个工具,人类才是那个永恒的决策者,利用机器智能提供的分析来做出更快更好的决策。

AI本身不是安全问题的答案。

人类应该用学习系统反馈进推理引擎和分析器。

概念上而言,数据分析器和AI能提升数据分析的速度。

是否启动网络响应计划的最终决策权,在SOC经理手上。

SOC新世界

所有这些都没真正阐述清楚AI到底怎么搞定SIEM难以解决的问题——简单添加传感器和安全层可能导致更多警报,增加SOC的评估和响应负担。

如果没有一定的参考点,安全经理如何判断哪些警报需要跟进而哪些直接无视就好?

而这,正是用户行为分析(UBA)和更新的用户及实体行为分析(UEBA)的长项所在。

对UEBA而言,最重要的不单单是基线的概念——所谓的可供识别异常的“正常”,而在于这是建立在与网络用户及账号相关联的行为基础之上。

用户监视可不是什么新概念,早已存在多年,但近年来兴起的机器学习赋予了它各种可能性,增强了用户监视对于SOC的效用。

与基于规则的系统不同,UEBA利用机器学习的基线建立过程,可随用户的行为变化调整对用户行为的整体认知,更深入地理解用户行为。

如果需要的话,这一原则还可延伸到应用程序和设备上。

这简直就是为机器学习量身打造的工作:这种应用场景里,安全分析就是简单地将各种算法应用到另一种大数据难题上而已。

而机器学习,正好是大数据沃土里成长的树苗。

不过,虽然概念听起来都很明智合理,此类系统却还只是出于发展初期阶段,它们的有效性还需经由处理现实世界安全事件来体现。

SOC防御者有时间来完善UEBA,但鉴于时代的变迁和威胁的升级,留给他们的时间或许不像有些人想象的那么多。

相关阅读

是时候实现SOC2。

0了

从追逐警报到捕获威胁:有效SOC的进化


news-aHR0cDovL3R1LmR1b2R1b2Nkbi5jb20vdXBsb2Fkcy9kYXlfMTkwNjA0LzVjZjVlMTc2OWY2OTAuanBn

近期文章

凯西:希望球迷别放弃米兰,我们会用胜利重启赛季

赵继伟晒相拥照片喊话哈德森:球场见

Carchia:山东将签下哈德森,塞尔登也将留队

令人动容!

C罗最新1动态再引热议,球迷婉言该死胜利

RMC西甲专家:皇马不会把纳瓦斯卖给欧冠竞争对手

近期评论文章归档

2019年十月

2019年八月

2019年七月

分类目录

yabo亚博美洲杯官网

美洲杯手机投注

美洲杯竞猜官网

功能

登录

文章RSS

评论RSS

WordPress。


jlp7Hr82rSmf2n3ueVoZ

金香槟推广热度最高

100句经典广告文案,每一句都值得收藏!

内容运营:小红书内容运营不为人知的秘诀?

微信公众号目前最有效的3个免费+3个付费的吸粉神器(附详细教程)

微信公众号起名规则及技巧:教你如何起好听的微信公众号名字?

那些年打动人心的经典广告文案案例

这些金融广告文案,既有创意又走心!

友情链接的作用:如何查询、检测、交换!

7步教你写出吸引人眼球的文案标题!

最全的APP校园推广渠道攻略:15种校园推广手段和10种推广方法

江小白表达瓶上的经典文案语录是怎么做出来的?

ee6e9-TB1oJlMlL9TBuNjy0FcXXbeiFXa-865-615 – 最后更新网

玩转Windows服务系列——Windows服务启动超时时间

最近有客户反映,机房出现断电情况,服务器的系统重新启动后,数据库服务自启动失败。

第一次遇到这种情况,为了查看是不是断电情况导致数据库文件损坏,从客户的服务器拿到数据库的日志,进行分析。

数据库工作机制。


Jessica Ogden’s Latest Quilts for A.P.C. Continue to Make Use of Fashionable Surplus Fabrics

JessicaOgden’sLatestQuiltsforA。

P。

C。

ContinuetoMakeUseofFashionableSurplusFabrics

Postedon2019年4月20日byfeibisi

CoinBene满币网合约通证CFT连续第五日开盘涨停

CoinBene满币网合约通证CFT连续第五日开盘涨停|每日区块链

据CoinBene满币网行情显示,其合约通证CFT/USDT交易对今日上涨10。

01%,触发涨停,现报0。

02538USDT。

根据该平台发布的规则,在CFT上线30天内,其单日的最大涨幅为10%。

dayqkl。


5c53f7fa4a929d08d39dfc21-紫金网

2020紫金网

本站收录内容均来自互联网,并不代表本站观点,不为其版权负责。

本平台尊重版权,文章仅作分享学习,如有侵权,请及时联系网页底部邮箱通知管理员删除。


ACH(Alchemy)成为QFpay全球数字货币支付唯一战略合作伙伴

ACH(Alchemy)成为QFpay全球数字货币支付唯一战略合作伙伴|每日区块链

数字货币支付服务商ACH(Alchemy)宣布将QFpay作为其传统支付领域战略合作伙伴,为QFpay全球商家在当地法律支持的情况下,提供数字货币即时兑换法定货币的即时支付服务,以及消费者数字货币支付担保等服务。

目前,双方已签订《全球数字货币支付唯一战略合作伙伴合作协议》。

QFPay全球商家超过120万,业务覆盖韩国、日本、印度尼西亚等十几个国家,并于近期完成2000万美元新一轮融,总融资额近1亿美元。

本轮投资方包括印尼电信投资部门MDIVentures,日本乐天资本RakutenCapital投资,红杉资本,InnoVenCapital,所获融资将用于加强QFpay产品技术研发及加大国际化市场投入。

dayqkl。

5c70a4b63d5dde0880cd27e2-紫金网

2020紫金网

本站收录内容均来自互联网,并不代表本站观点,不为其版权负责。

本平台尊重版权,文章仅作分享学习,如有侵权,请及时联系网页底部邮箱通知管理员删除。

718f991362d5794a29bb8ec42322b936-紫金网

2020紫金网

本站收录内容均来自互联网,并不代表本站观点,不为其版权负责。

本平台尊重版权,文章仅作分享学习,如有侵权,请及时联系网页底部邮箱通知管理员删除。