记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全运营能力成熟度模型(SOMM)

2021-11-08 11:22
安全运营中心(SOC)不管是只有两到三人的虚拟团队,还是配备了7X24小时的全天候运营团队,评估安全运营能力都将有助于提升安全威胁的检测时间(MTTD)和相应时间。

为此安全厂商LogRhythm开发了安全运营成熟度模型(SOMM),该模型阐述了如何测量安全运营的有效性,帮助企业了解并改进安全运营水平,最终提高对安全威胁的应对能力。

安全运营成熟度有五个级别,每个级别都建立在先前的基础上,通过改进技术和流程的能力,提供安全运营成熟度。随着成熟度的提高,可以提升安全运营的效率,获得更快的MTTR和MTTD,从本质上降低发生高影响安全事件的风险。

下图提供了随着成熟度提高MTTD/MTTR降低的示例:

安全成熟度模型从安全运营能力、组织特征、风险特征三个方面进行每个能力级别的描述,定义了每一能力级别应实现的关键技术和工作流程能力,以支持安全运营体系评估、规划与改进。

LEVEL 0 初始级

 

LEVEL 0 是初始级,基本特征为:1)无安全运营能力;2)无适当的流程;3)被动流程。

▼▼安全运营能力

▼▼组织特征

  • 预防导向(例如:防火墙、防病毒等)
  • 基于技术与职能部门的孤岛日志;无集中日志可见性
  • 威胁与失陷指标存在,它们不可见,同时没有进行威胁猎捕披露它们
  • 没有正式的安全事件响应流程;依靠个人经验作出响应
▼▼风险特征
  • 不合规
  • 无法察觉所有内部威胁
  • 无法察觉所有外部威胁
  • 无法察觉高级持续性威胁(APT)
  • IP可能被窃取(如果对国家与网络犯罪有兴趣)

LEVEL 1 最小合规级

LEVEL 1 是最小合规级,基本特征为:1)最小安全运营能力;2)无正式安全事件响应流程;3)合规驱动资源投入。

▼▼安全运营能力

  • 按强制要求对日志(log)与事件(event)进行集中化管理
  • 按强制要求以合规为中心进行服务器取证,比如文件完整性监控(FIM)与端点检测响应(EDR)
  • 最小化合规强制要求监控与响应

▼▼组织特征

  • 合规驱动资源投入或已经识别需要保护环境的特定领域
  • 通过报告评审发现合规风险;管理违规流程可能存在,也可能不存在
  • 提高受保护区域威胁的可见性;但缺乏人员和流程进行有效威胁评价及优先级排序
  • 没有正式的安全事件响应流程;依靠个人经验作出响应

▼▼风险特征

  • 显著降低合规风险(取决于审计的深度)
  • 无法察觉大部分内部威胁
  • 无法察觉大部分外部威胁
  • 无法察觉高级持续性威胁(APT)
  • IP可能被窃取(如果对国家与网络犯罪有兴趣)

LEVEL 2  稳妥合规级

 

LEVEL 2 是稳妥合规级,基本特征为:1)基本安全运营能力;2)被动并且手工的工作流程;3)基本监控与响应流程。

▼▼安全运营能力

  • 目标驱动日志(log)与事件(event)进行集中化管理
  • 目标驱动服务器与端点取证
  • 目标驱动环境风险特征
  • 被动、手工脆弱性情报工作流程
  • 被动、手工威胁性情报工作流程
  • 基础性机器关联分析与告警优先级
  • 建立基础性监控与响应流程

▼▼组织特征

  • 超越最低限度复选框合规,寻求效率和改进保证
  • 已经认识到组织无法察觉大多数威胁;致力于实际的改进,以检测和响应高风险威胁,重点关注高风险领域
  • 已经建立正式的流程并分配监控和高风险告警职责
  • 建立基本但正式的安全事件响应流程
▼▼风险特征
  • 极具韧性并且高效的合规状态
  • 对内部威胁具有良好的可见性,但存在部分盲点
  • 对外部威胁具有良好的可见性,但存在部分盲点
  • 大多数情况无法察觉高级持续性威胁(APT),但有可能检测到APT的指标和证据
  • 除了那些利用APT类型攻击或针对盲点的攻击外,对网络犯罪具有更大的韧性
  • 更容易受到国家的打击

LEVEL 3 警觉级

LEVEL 3 是警觉级,基本特征为:1)正式监控与响应流程;2)面向调查与缓解工作流程的自动化;3)持续的安全运营实践。
▼▼安全运营能力
  • 全面的日志(log)与事件(event)进行集中化管理
  • 全面的服务器与端点取证
  • 目标驱动网络取证
  • 基于IOC威胁情报整合到安全分析与工作流中
  • 全面的脆弱性基础关联分析以及工作流整合
  • 针对已知威胁检测的基于IOC与TTP场景分析与高级机器分析
  • 目标驱动的异常检测机器分析(例如:通过行为分析)
  • 正式、成熟的监控与响应流程,以及针对通用威胁的标准剧本
  • 建立运转的实体或虚拟SOC
  • 针对威胁调查工作流的案例管理
  • 目标驱动自动化调查与缓解工作流
  • 基础性MTTD/MTTR运营指标

▼▼组织特征

  • 已经认识到组织无法察觉很多高影响威胁
  • 已经在组织流程与员工数量上进行了投入,以显著改善所有类型威胁的检测与响应能力
  • 已经投入资源建设正式的安全运营与安全事件响应中心(SOC),并且由训练有素的员工进行有效运营
  • 针对告警进行有效地监控,并且进而能够进行主动威胁猎捕
  • 利用自动化改进威胁调查与安全事件响应流程的效率与速度

▼▼风险特征

  • 极具韧性并且高效的合规状态
  • 对内部威胁高度可见性并且快速响应
  • 对外部威胁高度可见性并且快速响应
  • 对APT具有良好的可见性,但存在盲点
  • 对网络犯罪具有很强的韧性,除了针对盲点的APT攻击
  • 仍然容易受到国家打击,但很大可能更早的检测并且更快速的响应

LEVEL 4 韧性级

 

LEVEL 4 是韧性级,基本特征为:1)高级文档化响应流程;2)自动化威胁鉴定、调查以及响应流程;3)完全自主自动化–从鉴定到缓解。

▼▼安全运营能力

  • 全面的日志(log)与事件(event)进行集中化管理
  • 全面的服务器与端点取证
  • 全面网络取证
  • 基于行业特定的IOC与TTP威胁情报整合到安全分析与工作流中
  • 全面脆弱性情报高级关联分析以及自动化工作流整合
  • 针对已知威胁检测的基于IOC与TTP高级场景机器分析
  • 针对全面异常检测的高级机器分析(例如:通过基于AI/ML的全方位行为分析)
  • 建立文档化、成熟的响应流程,以及针对高级威胁(例如:APT)的标准剧本
  • 建立24/7运转的实体或虚拟SOC
  • 跨组织案例协作与自动化
  • 调查、缓解工作流全面自动化
  • 针对通用威胁从鉴定到缓解的完全自主自动化
  • 高级MTTD/MTTR运营指标以及历史趋势

▼▼组织特征

  • 是国家、网络恐怖分子、犯罪组织的高价值目标
  • 遭受所有途径的持续性攻击:物理的,逻辑的,社会的
  • 无法容忍服务终端与违约,这意味着最高级别组织失败
  • 总体来说,对威胁管理和安全采取积极主动的态度
  • 投入一流的人员、技术和流程
  • 在组织与运营冗余的情况下进行24/7的告警监控
  • 具有广泛地主动威胁预测与威胁猎捕能力
  • 尽可能自动化进行威胁鉴定、调查以及响应流程

▼▼风险特征

  • 极具韧性并且高效的合规状态
  • 发现所有类型威胁并能快速响应
  • 在网络攻击生命周期早期发现高级持续性威胁(APT)的证据,并能够战略地管理其活动
  • 对所有类型的网络犯罪都具有很强的韧性
  • 能够承受并且定于大多数极端国家级对手

知识来源: https://www.sec-un.org/%e5%ae%89%e5%85%a8%e8%bf%90%e8%90%a5%e8%83%bd%e5%8a%9b%e6%88%90%e7%86%9f%e5%ba%a6%e6%a8%a1%e5%9e%8b%ef%bc%88somm%ef%bc%89/

阅读:98793 | 评论:0 | 标签:管理 SOC 安全运营 成熟度 模型 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全运营能力成熟度模型(SOMM)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁