自適應安全策略對於阻止高階攻擊至關重要

安全操作中心(SOCs)遇到的威脅很快就會從傳統的網路攻擊轉變成大範圍的破壞性勒索軟體攻擊，甚至是複雜的民族國家攻擊。在這種情況下，目前通過警報進行的分流和補救措施可能會失敗。

雖然警報是一個很好的調查起點，但它們並不能幫助防禦者有效地補救攻擊的嚴重性、影響和蔓延。安全團隊需要從孤立的警報佇列轉變為能夠處理整個端到端攻擊的事件。

從基於警報的分流和補救系統轉向圍繞全面的事件補救而建立的系統有巨大的優勢，包括節省時間和資源，大大減輕安全團隊的負擔，以及全面加強建立在零信任和深度防禦方法上的安全態勢。

事件檢視讓分析人員立即看到大局，瞭解攻擊的嚴重性和程度，這有助於SOC對關鍵事件進行優先排序，並制定一個明智的行動方案。它還大大減少了分析員佇列中的工作專案。

關聯性提供了活動是惡意的信心，因此事件得到更快、更容易的分流。確定事件中的一個活動是惡意的，就會對整個事件定罪，這有助於消除假陽性事件。

事件使分析人員能夠發現殺戮鏈中的 "空白"，並通過將事件中的警報與MITRE ATT&CK知識庫中的技術和戰術進行對映，根據上下文填補這些空白。例如，如果我們看到事件中的初始訪問和橫向移動活動，我們就可以利用這一點來發現那些不足以觸發警報的永續性、指揮和控制以及憑證盜竊戰術。我們可以通過執行路徑自動回滾，找到最初的進入點，並向前滾動以揭示攻擊的全部範圍--這對決定如何遏制威脅、驅逐攻擊者和補救資產損失至關重要。

因為我們是針對事件而不是單個警報採取行動，所以SOC遊戲手冊也可以針對整個事件。這消除了 "追逐 "單個警報的需要，並實現了持久的更高層次的指導，不會因為每個新的警報型別而改變。在弄清事件的影響後，遊戲手冊現在可以清楚地識別、優先考慮和協調遏制步驟，以便一次性地完全驅逐攻擊者。

最後，事件模型將所有受影響的資產收集到一個共同的桶中，從而可以全面執行補救措施。

隨著威脅防護的發展，SOC需要調整和擴充套件其流程。立即採取四項行動來開始這個旅程。

1. 從警報到事件的分類

無論您的SOC使用SIEM還是XDR安全產品進行初始分流，都要確保它能在警報之上提出有意義的相關事件。根據對你來說很重要的引數，如該威脅的潛在風險、技術的範圍和殺傷鏈的進展，以及受影響資產的重要性，對你的事件佇列進行優先排序。

將您的 SOC 操作手冊與網路釣魚、勒索軟體和廣告軟體等事件類別相匹配。針對每個事件類別，定義 SOC 分析師應採取的措施，以快速瞭解該事件是真正的威脅還是虛驚一場，並立即阻止其發展。

根據階段或技術，為調查個別事件警報提供指導。確保發現並捕獲事件中的所有攻擊者活動和受影響資產--這構成了事件補救計劃的基礎。

最後，在考慮了整個事件(包括所有受影響的資產和證據)後，在受影響的資產中呼叫補救措施，使其恢復到乾淨的執行狀態。

2. 自動化

以結構化和持久的方式將SOC的遊戲手冊對映到事件上，可以實現協調的流程自動化。有些事件類別可以完全自動處理，並在不需要SOC關注的情況下得到端正的解決。對於其他事件，有些部分可能是自動化的(例如，初始分流、批量修復)，而其他需要專業知識的部分仍然是手動的(例如，調查)。自動化應該利用事件圖來確定在哪裡以及如何協助分析員，節省重複的手工工作，並使SOC能夠專注於更復雜和高風險的事件。

3.帶著團隊一起行動

花時間解釋與相關事件合作的好處，以及這種方法如何改變防禦者的遊戲。探索MITRE ATT&CK框架，並使用它來構建你的SOC遊戲手冊的事件指導，使其具有擴充套件性和耐久性。當一個新的警報檢測到滲透，並且它被對映到適當的戰術或技術，現有的指導適用，不需要特殊的警報上機或新的指導。

記錄對先前案例採取的行動--整合到你的安全工具中--並使用這些資料來幫助分析人員瞭解如何更好地處理新的事件，並隨著時間的推移調整流程。將這些經驗擴充套件到整個行業的合作中，可以為組織和整個安全社群帶來巨大的好處。

4. 先試後買

尋找一種安全產品，使您的組織能夠轉向事件並支援這種SOC流程的演變。它應該實現將警報自動關聯到事件、優先順序、事件分類，以及在事件和警報層面將您的SOC遊戲手冊對映到MITRE ATT&CK戰術和技術的能力。

不要忘記定製，每個組織都有自己的偏好和特殊流程。尋找能夠根據組織內部和整個行業的事件歷史整合行動建議的產品。