安全运营的关键核心技术有哪些？

大多数安全运营策略采用以下技术的某些组合实现。

1.安全信息和事件管理（SIEM）

安全信息和事件管理（Security Information and Event Management，SIEM）是 Gartner 分析师 Mark Nicolett 和 Amrit Williams 在 2005 年的报告中提出的一个术语。SIEM 通过将安全信息管理（SIM）和安全事 件管理（SEM）相结合，为网络安全威胁检测功能奠定了基础，提供实时事件监控和分析以及安全数据的跟踪和 日志记录，以满足合规性和审计需求。其中 SIM 是收集、存储和监视事件和活动的日志数据并进行分析的过程， 该过程是广泛且长期的；SEM 则是对安全事件和警报进行实时监控和分析的过程，旨在应对威胁、识别模式和 响应事件。

SIME 解决方案收集来自最终用户设备、服务器、网络基础设施、安全设备和应用程序的事件和日志数据，并 将数据聚合到一个集中式平台中以便于访问。然后可以将收集到的数据分类到指定的可操作的类别中，这些类别 可以识别与正常活动的偏差。这使安全团队更容易识别威胁并调查安全警报和事件，为组织提供整体安全视图。 同时 SIEM 解决方案可以本地部署、混合部署，并且越来越多地基于云部署，基于云的 SIEM 提供更快、更简单的 部署，通过分析遥测数据以检测攻击和其他标记的活动，提供洞察力以快速定位和减轻业务的潜在安全威胁。 SIEM 解决方案通常有 4 个组成部分：数据收集、数据分析、事件管理和告警报告。

数据收集：数据收集是指从组织内部和外部的各种来源收集信息的过程，这些数据可以有多种形式，包 括系统日志、应用程序日志、网络流量和用户活动。SIEM 从数百个组织系统总收集日志和事件。每当有事 情发生时，每个设备都会生成一个事件，并将这些事件收集到一个平面日志文件或数据库中。

数据分析：通过审查收集的数据以寻找可能标明安全事件的模式或趋势的过程，此步骤对于识别潜在威 胁并采取适当措施减轻威胁至关重要。

事件管理：通过数据分析阶段确定的事件做出响应的过程，这包括遏制、根除和恢复等步骤。

告警报告：这个阶段涉及创建一份记录事件并概述为解决该事件所采取的步骤的报告，此报告将来可用 来参考并帮助改善组织的安全状况。

SIEM 解决方案可以帮助公司的安全团队发现攻击在整个网络中所采用的路径、识别被破坏的源并提供自 动化工具来防止正在进行的攻击来增强事件管理。不仅如此，还显著缩短了识别和应对潜在网络威胁和漏洞所 需的准备时间，有助于加强组织的安全态势，同时可以支持跨整个业务基础设施的集中合规审计和报告，高级自 动化简化了系统日志和安全事件的收集和分析，以降低内部资源利用率，同时满足严格的合规性报告标准。

2.用户和实体行为分析（UEBA）

用户和实体行为分析（User Entity Behavior Analytics，UEBA）是多层集成 IT 和信息安全策略的组成部 分，旨在通过使用机器学习、算法和统计分析来监控和识别网络和端点设备上的异常流量模式、非法数据访问和 移动以及可疑或恶意活动。例如，如果网络上的某个用户很少向 Internet 上传微小数据，但突然开始上传 2GB 的文件，UEBA 会判断为异常情况及时通知安全管理人员。同时，UEBA 不仅监控人的行为，还监控设备。如果单 个分支机构的服务器收到比正常情况下多出数千的请求，这表明可能会发生 DDoS 攻击，UEBA 可以及早识别 危害并采取适当的措施降低风险，避免数据泄露。

网络攻击变得越来越复杂且难以检测，Web 网关、防火墙、入侵检测和预防系统以及虚拟专用网络等传统 安全解决方案无法再保护公司免受入侵。此外，社会工程和网络钓鱼也在增加，这些技术并不针对企业的硬件， 而是针对其员工，诱使他们点击链接、下载软件和传输密码。感染单台机器只是潜在大规模攻击的开始，UEBA 旨在识别最微小的异常活动，并防止简单的网络钓鱼活动发展成大数据泄露事件。

UEBA 是现代组织网络安全堆栈中必不可少的工具，通过使用大型数据集来模拟网络中人类和机器的典型 和非典型的行为，通过定义此类基线，它可以识别传统防病毒软件可能检测不到的可疑行为、潜在威胁和攻击。 UEBA 可以识别分析各种行为模式，这意味着 UEBA 就可以检测基于非恶意软件的攻击，企业能够更轻松地确 定潜在威胁是伪装成员工的外部方还是通过舒服或恶意带来某种风险的实际员工。同时 UEBA 还使用这些模型 来评估威胁级别，创建有助于指导适当响应的风险评分。UEBA 越来越多地使用机器学习来识别正常行为，并对 提示内部威胁、横向移动、受损账户和攻击的风险偏差发出警报。

UEBA 解决方案可以通过以下三个方面帮助组织构建强大的安全态势：

检测特权升级：许多企业忽视了没有特权的用户账户带来的危险，攻击者通常以低访问权限的账户为目 标，并利用它们来提升权限并破坏易受攻击的系统。UEBA 有助于检测非法提升特权的尝试，并及时通知 安全团队该行为。

识别内部威胁：UEBA 能够像检测外部威胁一样高效地识别内部威胁，并及时通知组织以避免威胁发生。

建立 UEBA 基线：由于用户和实体活动不断变化，因此有必要定期更新基线数据，组织可以设置 UEBA 系统来自动收集数据并随着条件的变化改变基线。

在实际的安全运营实践中，SIEM 和 UEBA 都提供可以帮助企业实现其安全和业务需求的关键功能，但由 于内部攻击是真实的且代价高昂，UEBA 应该被视为 SIEM 的补充。SIEM 擅长合规性管理和事件监控，UEBA 擅长检测内部威胁和保护组织的数字资产。通过将 UEBA 与 SIEM 相结合，企业可以通过更高级、更复杂的分析 来识别安全威胁。

3.安全编排、自动化和响应（SOAR）

Gartner 将安全编排、自动化和响应 (Security Orchestration Automation and Response，SOAR) 定义 为：“使组织能够收集由安全运营团队监控的输入技术，SOAR 工具允许组织以数字工作流格式定义事件分析 和响应程序。”简单来说，SOAR 是一种安全技术，可以使安全威胁数据在部署在不同环境的不同安全技术之间 自动积累和流动，并启用对安全威胁的自动响应，简化安全运营流程。

最初在 2015 年，Gartner 将威胁和漏洞管理、安全事件响应和安全运营自动化视为三个最重要的 SOAR 功能。2017 年，Gartner 将 SOAR 技术的定义扩展到包括三个关键组件：安全编排和自动化、安全事件响应和 威胁情报平台。2022 年，Gartner 修订了其 SOAR 安全定义，以包括将事件响应、编排和自动化以及威胁情报 平台管理功能集成在单一平台上的解决方案。根据 Gartner 的 2022 年安全编排、自动化和响应解决方案市场 指南，现代企业使用 SOAR 工具来记录和实施安全流程，支持安全事件管理，为安全团队提供基于机器的帮助， 并更好地实施威胁情报。

综上所述，SOAR 技术的三个核心能力是安全编排、安全自动化和安全响应。

安全编排：安全编排使用预构建或定制的集成和应用程序编程接口连接和组合不同的内部和外部技术， 包括端点安全、用户行为分析、防火墙、漏洞扫描器、SIEM、IPS/IDS 以及外部威胁情报源等。通过聚合和 规范化来自多个来源的安全数据，增强了对组织安全态势的可见性，使安全团队能够快速地识别潜在的 安全威胁并采取适当的措施，确保组织资产和数据的完整性和安全性。

安全自动化：安全自动化是基于机器的安全操作执行，无需人工交互即可识别、分析和减轻网络威胁。安 全自动化在安全编排收集的数据和警报的推动下，分析数据并生成自动化程序以取代人工活动。SOAR 工具标准化并执行以前由分析师处理的任务，包括日志分析、漏洞扫描、审计等功能。剧本是预先确定的， 预建或定制的自动活动。SOAR 剧本对于 SOAR 的成功至关重要，剧本可以是预先构建的，也可以是定 制的，多个 SOAR 剧本连接在一起以执行复杂的活动。例如，如果在员工的电子邮件中发现恶意统一资 源定位器 (URL) 并在扫描过程中识别出来，则可以实施剧本来阻止电子邮件，警告员工可能被网络钓 鱼，并将发件人的 IP 地址列入黑名单。

安全响应：旦识别出威胁，安全响应就会为安全人员提供信息以了解所采取措施的规划、管理、监控和报 告，包括案例管理、报告和威胁情报共享等信息。

面对不断发展的威胁、缺乏经验丰富的安全专业人员以及管理和监控不断扩大的 IT 资产的需要，SOAR 使 各种规模的企业能够更快地识别和应对网络攻击。基于 SOAR 的核心能力可以为企业实践安全运营带来了不 可忽视的价值，包括：

减少开支：安全风险的数量和种类的不断增给组织带来了相当大的财政挑战。对于每一种新型网络攻击， 组织都必须分析和设计解决问题的机制，这需要花费大量的时间、金钱和精力。但通过使用 SOAR 大部 分流程都可以实现自动化，从而为组织节省了时间和金钱。

改善威胁环境：应对日益复杂的网络安全威胁需要全面掌握攻击者的战术、方法和程序 (TTP）以及识别 危害指标（IOC）的能力。SOAR 平台通过集成来自更多种类的工具和系统的更多数据，提供更丰富的上下 文、卓越的分析和最新的威胁数据。这使安全人员能够将情况具体化，做出更具有根据的判断，并加快问 题的识别和反应时间。

快速识别和响应事件：SOAR 可以帮助组织减少平均检测时间（MTTD）和平均响应时间（MTTR）以及攻 击的总停留时间，通过更快地识别危险并对其做出反应，可以减轻带来的负面影响。

简化管理：SOAR 平台将多个安全工具的仪表盘聚合到一个界面中，通过集中数据和信息管理帮助安全 团队实现节省时间的目的。

简化流程：自动化较低级别操作的标准化流程和剧本允许安全团队在相同的时间内对更多的威胁做出 反应。

提高生产力：通过使用 SOAR 可以更有效地利用人力资源，让员工将时间花费在更需要的部分，提高现 有员工的工作效率更高，因此招聘和雇用新员工所花费的时间更少。

补丁管理：SOAR 协助安全团队正确处理更新补丁，通过自动部署修复程序并监控关键系统，无需人工 干预。组织通过将 SOAR 平台与其配置管理系统集成，将其与其他变更管理流程进行协调。

在实践过程中，安全人员经常同时使用 SOAR 工具和 SIEM 工具，这两个系统是互补的，可以协同工作以增 强组织的整体安全态势。通过将 SOAR 和 SIEM 平台串联起来使用，SIEM 可以识别安全威胁并生成警报， SOAR 对这些警报做出反应，对数据进行分类，并执行任何所需的补救措施，从而更有效地增强组织安全态势。

4.端点检测和响应（EDR）

根 据 Stratistics MRC 的 Endpoint Detection and Response - Global Market Outlook (2017-2026)， 到 2026 年，端点检测和响应（Endpoint Detection and Response，EDR）系统（本地和云端）的销售额预计将 达到 72.7 亿美元，年增长率约为 26%。推动 EDR 使用增长的两个重要因素是连接到网络的端点数量逐步增加 以及苏子和网络攻击日益复杂，端点已成为攻击者眼中较为简单的网络渗透目标。

据 Gartner 称，EDR 系统必须具备下列四大主要功能：

事件调查：EDR 通过集中位置的端点收集和组织数据，使取证调查变得更加容易。EDR 提供了识别安全 漏洞所必需的事件分析类型，并在可行的情况下防止未来相同的攻击媒介再次被利用。沙盒是调查过程 中的一项关键技能，沙盒是在隔离的模拟环境中测试和监控文件的过程，在这个受限的模拟环境中，EDR 试图在不危及更广泛环境安全的情况下识别文件的性质，通过这种方式，EDR 可以了解有害文件的特征 和性质，通过对文件进行全面评估，EDR 可以与威胁情报团队进行交互，并对未来的威胁做出及时响应。

威胁检测：威胁检测是 EDR 的核心能力，使用威胁检测发现端点上的恶意行为和异常，这超越了传统的 基于文件的恶意软件扫描。通过连续文件分析，EDR 将能够在恶意活动的第一个迹象中识别有害文件。 除了持续的文件分析之外，EDR 识别文件的能力取决于驱动它的网络威胁情报，通过利用大量数据、机 器学习技能和复杂的文件分析来识别威胁，更大的网络威胁情报增加了 EDR 系统检测到威胁的可能性。

事件遏制：通过在源头阻止攻击，借助 EDR 技术遏制安全事件。在识别出恶意文件后，EDR 必须及时遏 制安全威胁。

事件响应：EDR 最明显的特征是消除威胁的能力，EDR 技术包括安全事件优先级排序，旨在帮助安全团 队更快地对威胁做出反应。

随着远程工作变得越来越普遍，良好的端点安全性是任何组织网络安全战略的关键要素。拥有高效的 EDR 安全解决方案以保护组织和远程员工免受网络安全风险至关重要。EDR 通过监控网络和端点事件并将数据存 储在中央数据库中以供后续查询、报告和分析来发挥作用。EDR 创建警报以帮助安全分析师识别、调查和解决 问题。除了收集有关可疑行为的遥测数据外，EDR 技术还使用来自相关事件的额外上下文信息来增强此数据。 EDR 对于缩短事件响应时间以及理想情况下在威胁造成伤害之前消除威胁至关重要。

EDR 通过在本地设备上安装代理来运行，通常托管在云中，以促进数据从端点代理传输到中央集线器。多 个代理链接到一个中央集线器，每个代理持续监控并从其本地设备环境收集数据。这些数据被发送到一个集中 的中心进行处理和分析，通常使用人工智能 (AI) 和机器学习 (ML) 等先进技术。此过程生成统计模型，用于实时 评估传入端点数据并识别危险。EDR 工具将使用以下四个方法进行威胁检测：

沙箱分析：潜在危险的文件被放置在一个称为沙箱的安全环境中，然后运行以分析它们的行为而不会对 端点造成伤害。

行为分析：即使所有流量签名都是真实的，也会对端点的可接受行为阈值进行基准测试。

签名分析：将网络流量签名与已知恶意软件签名的数据库进行比较，以确定匹配项。

配白名单 / 黑名单：将端点操作与预定义的白名单和黑名单 IP 地址列表进行比较，以允许或拒绝网 络流量。

EDR 的威胁响应功能使安全分析人员能够采取补救措施、进一步诊断问题并进行取证分析，这有助于发现 类似的活动。取证功能有助于建立时间框架、识别受感染的系统，并且收集工作或探测可疑端点上的实时系统内 存，再结合历史和当前情况数据可以更全面地了解事件。