跳過主内容

實現現代化的資訊安全監控中心,更加保護遠端工作的安全

資訊安全監控中心 (SOCs)security operations centers 為了應對 COVID-19 ,必須重新考慮如何保護自己的組織。由於許多員工採取遠端工作,IT 部門將更多的流量直接傳送到雲端應用程式,而不是傳遞到網路 (IT groups are routing more traffic directly to cloud apps, rather than through the network)。在這個模式中,傳統的網路安全控制是不夠的,端點信號和基於身份的安全驗證比以往任何時候都重要。

即使在最佳情況下,在 SOC 中進行管理和工作仍充滿壓力,何況現在不是一般的時刻!由於部門可見度較低 (with less visibility),加上對平衡用戶生產力而不危害到安全性的擔憂,我們知道您承受著巨大的壓力。但是我們也知道,在這段疫情期間公司為了因應遠端工作而進行的諸多改變,並不會隨著疫情結束而恢復,其中有些公司已經宣布了更加彈性且永久的遠端工作政策。有鑑於這個新時代,SOC 也將需要進行調整。在這個部落格中,我們概述了現代 SOC 原則來協助您渡過轉換期。您也可以透過觀看 2020微軟虛擬資安與合規性高峰會來了解我們討論這些概念。

這是一個多雲端的世界

您的公司很可能不只使用一個雲端。您可以在 Microsoft Azure 上管理大部分基礎結構,但也可能使用 Amazon Web 服務 (AWS) 或 Google 雲端平臺 (GCP)。當我們提到雲端時,我們不只是指基礎設施作為服務 (IaaS),還有包含託管在雲端中的平台即服務 (PaaS) 和軟體即服務 (SaaS) 中的應用程式開發工作,雖然我們不一定清楚它託管在哪個雲端上。如果在所有平台上沒有辦法看見儲存與交易的商業資訊,您的公司不會對企業安全計劃和風險評估有全盤的了解。

儘管主要的雲端服務提供者會提供工具讓您廣泛監控環境,但您需要檢視整體來找出相關威脅 (correlate threats),並評估一個威脅如何影響其他資源。解決方式如:Microsoft Cloud App Security ,可以為您提供檢測雲端應用程式,並且監視和保護他們;而 Azure Sentinel 則收集和分析內部部署和多個雲端的數據。

所有連線裝置的可見度

隨著越來越多的員工使用雲端應用程式和行動裝置工作,傳統的網路安全領域已失去相關性,這讓端點監視和保護更顯重要,但它的範圍不只包含員工的裝置。物聯網(IoT)在各行業中爆炸式增長,然而,工業物聯網 (IIoT) 和工業控制系統 (ICS) 為攻擊者製造一個滲透您環境的機會。Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) 的安全平台,可以幫助您在所有端點中預防、偵測、調查和應對威脅。Microsoft Defender ATP 與 Microsoft Threat Protection 整合,使您能夠查看裝置、身份、雲端應用程式、數據和基礎結構。

人類和機器學習協同工作

這項工作如此具有挑戰性的部分原因,在於需要監控的端點和環境的數量之多。每個裝置都會生成數千個警報,但並非所有警報都是合法威脅。如果您使用的是多個未整合的安全工具,在整個環境中找出相關訊號是很困難的。要找到真正的威脅,您可能會花費數小時整理誤報資訊。警示疲勞是不可避免的,因此很容易錯過真正的問題。

現代 SOC 將部署人工智慧 (AI) 和機器學習 (ML),以幫助人們關注正確的問題。如果您擔心 AI 和 ML 將取代您的工作,「幫助人們」才是上一句話中最重要的部分。我們相信人們現在(並在未來持續的)是網路防禦工作的必要部分。AI 和 ML 不具備處理人們複雜問題的能力,AI 和 ML 能做的是降低噪音,使人們能夠專注於應對更複雜的威脅,並且嘗試找出攻擊者下一步的計劃。

在 Azure Sentinel 、 AI 和 ML 等解決方案中,需要對大量數據進行推理,以便更好地檢測指示危害的行為。使用概率模型(如 Markov Chain Monte Carlo 模擬)Azure Sentinel接收低精確度警報,並將它們合併到較少操作步驟的高精確警報中,從而增加正確機率,減少分析師的警報疲勞度。

資安培訓遊戲化

SOC 的核心任務是快速識別威脅並回應事件。在攻擊中,分秒必爭,因此快速智慧的回應至關重要,但這些時刻也是腎上腺素激增導致人們恐慌的時刻。在高度戒備狀態下,您可能不會做出最佳決策,制定計劃有助於在事件期間掌握架構。

指南手冊包括各種觸發程序的一組流程和步驟。紙本指南手冊為您提供緊迫時刻的參考。您還可以使用 Azure Sentinel 等解決方案中的安全編排、自動化和回應 (SOAR) 功能來自動化指南手冊。

練習你的計劃可以幫助建立記憶。在練習過程中,團隊在低壓力環境中討論如何應對特定狀況。當實際攻擊發生時,他們會利用這些練習為決策提供資訊。

為了更好地吸引參與者,許多 SOC 正在遊戲化他們的培訓課程。奪旗比賽將組分為紅隊(攻擊者)和藍隊(防禦者),並讓他們挑戰保衛(或攻擊)電腦系統。Microsoft 的 OneHunt 團隊整合整個 Microsoft 的安全專業人員,進行為期一周的紅隊與藍隊模擬。在 Ignite 世界巡迴賽中,闖入突破是最流行的活動之一。在此遊戲中,參與者使用 Azure Sentinel 和 Microsoft Threat Protection解決方案,保護系統免受 AI 生成的攻擊。透過這樣的活動,讓團隊在快速變化的情況下以類似真實攻擊的情況進行練習,而不須承擔高風險。

瞭解更多資訊

對於快速支援遷移遠端工作的技術團隊來說,這幾個月是很艱難。當您開始為了新的時代對 SOC 進行現代化改造時,以下資源可以幫助您:

有關 Microsoft 安全解決方案的更多資訊,請造訪我們的網站。將 Security blog 設為您的書籤來關注我們在資安層面上的專家報導。同時,在 @MSFTSecurity 上追蹤我們來獲得網路安全的最新消息和更新,或是通過 LinkedIn 或是推特聯繫 Diana。

延伸資料:Microsoft Cloud App Security, Microsoft Defender Advanced Threat Protection, Security intelligence

更多故事