網絡犯罪近來大幅增長。壞消息是，它不會很快結束。可以毫不夸張地說，隨著時間的推移，黑客變得更加野心勃勃，他們的目標翻了一番——從竊取金融信息到用戶機密數據再到知識產權信息。任何給定資產的損失都可能導致組織倒閉。普華永道最近的一項研究《2016 年經濟犯罪調查》預測，預計未來兩年內將有超過 50% 的英國公司受到網絡犯罪的攻擊。

隨著不道德的嘗試變得更加持久和強大，擁有一個具有強大的安全事件檢測和響應能力的數據中心是必不可少的。缺乏被視為良好安全管理流程核心的功能齊全的安全運營中心的組織極易受到此類攻擊。這種下滑可能是由于多種因素造成的，例如不合適的安全工具、預算限制、未經培訓的安全專業人員以及脆弱的事件管理流程。為了自滿，IT 管理員應該為最新的技術做好準備，并著重于增強其現有安全運營中心 (SOC) 的能力，以便積極消除這些太空時代的攻擊。請記住——及時做出的決定將推動您的業務向前發展，

本博客試圖闡明一些有助于使您的 SOC 成為抵御無端網絡攻擊的有效武器的關鍵因素：

在當今時代，大多數企業都認為他們不容易受到網絡攻擊，因為他們在組織中從未遇到過這種攻擊。外觀是不同的，因為他們甚至不知道他們的系統是否已經受到損害。時間的需要是趕時間并弄清這樣一個事實，即從違規行為開始到被發現的平均天數在 210 到 254 天之間。

在我們繼續之前，先看一下組織用來保護公司網絡的工具。為了減輕這種有針對性的攻擊的影響，需要維護 SOC，以便在讓它們進入不可恢復的階段之前迅速檢測和防御問題。在采取飛躍之前，首先要確定您的安全運營成熟度：

安全分析

主要是，根據攻擊者和用于啟動此類攻擊的方法，攻擊分為兩個維度。當攻擊方法已知時，IT 管理員會使用基本規則來解決它們，例如 AV 簽名、入侵防御系統、自動漏洞掃描器、SIEM、數據泄漏防御系統和端點防病毒。好吧，當攻擊方法未知時——分析就會出現。好吧，據觀察，大多數攻擊模式都是未知的，這使得傳統的基于規則的系統無法應對當前的威脅經濟。

分析允許識別未知的攻擊者和攻擊，并在需要進一步搜索以隔離潛在漏洞（如果有）時發送通知。此外，使用威脅情報的分析更加絕對，因為它無需任何第二次嘗試即可確定潛在的違規行為。

將 SOC 升級到安全分析的方法

IT 專業人員尋求升級 SOC 的第一步也是最重要的一步是在部署分析平臺之前確定越來越多的使用實例。用例不應僅限于基本的已知和未知攻擊概念。在所有這些原因中，了解您應該在哪里實施統計或機器學習方法以及它如何填補空白這一事實很重要。

了解分析用例后的第二階段是利用相同的分析平臺并將其與正確的數據源集結合起來。補充一點，由于包括其他來源在內的安全技術的數據量將飆升——該平臺可以被理解為大數據平臺。

現在實施威脅情報以識別未知攻擊。在這種情況下，安全專業人員了解攻擊者的特征，但攻擊仍然未知。安全運營中心可以豐富地組合來自外部來源的威脅情報源并修改規則，以便輕松識別攻擊。威脅檢測之后會迅速進入安全編排階段，以阻止攻擊者訪問網絡。請記住，響應時間差或響應延遲可能會導致災難。

這是第四個階段，需要自動探測和修復。在此，要求SOC分析師分擔責任，追問攻擊者是誰，會對系統造成什么損害，是否屬于新型攻擊，是否屬于戰役攻擊等。回答這些問題將有助于更正確、更全面地解決問題。最后，應用安全分析和編排將有助于改變 SOC 團隊的角色和結構。

確定您的安全運營成熟度以獲得更好的吞吐量

每個組織都是不同的，他們的成熟度和能力也是如此。評估自己的有效性并根據發現的結果制定計劃是相當困難的。有許多安全操作成熟度評估受益者可以幫助確定您當前的成熟度，并且它們允許您將您的系統與您的同行的系統進行比較。這種評估有助于實現多個目標：

• 幫助確定安全操作的效率
• 提供最適合的建議，有助于釋放許多機會
• 創建有助于實現成熟安全運營中心的路線圖

最后的話

通過集成安全分析和編排功能，企業可以減少不道德的嘗試。然而，這種功能齊全的模型只能通過使用前衛的技術平臺并在下一代 SOC 中集成新的角色集來實現。一旦成功執行，IT 管理員可以快速檢測并解決問題，從而減少無法檢測到的網絡攻擊。