引言：安全運維中心（SOC）也稱為網(wǎng)絡運維中心，其根本使命是，幫助企業(yè)檢測、分析、響應、報告、防止網(wǎng)絡安全事件。但是，在這個不斷變化的威脅環(huán)境中，要成功實現(xiàn)上述任務必須隨機而變，這就對安全分析師和技術帶來更為巨大負擔。

多安全運維中心都采用一種傳統(tǒng)的響應性方法，并且提供一套標準服務，其中包括日志管理、實時監(jiān)視、事件響應和調(diào)查。這些安全運維中心使用傳統(tǒng)的安全信息和事件管理（SIEM），從內(nèi)部源收集和關聯(lián)日志數(shù)據(jù)，并且運行簡單實時的基于規(guī)則的分析，以此檢測已知威脅。在觸發(fā)警告時，就展開調(diào)查。在一段時間內(nèi)，這種水平的服務是足夠的。但是，隨著攻擊變得越來越復雜，一個很明顯的事實是，很多惡意活動的發(fā)生不會產(chǎn)生明顯的日志數(shù)據(jù)。不妨想一下零日漏洞和有針對性的惡意軟件。這意味著，傳統(tǒng)的攻擊檢測已經(jīng)遠遠不夠。

隨著成功的安全破壞不斷增長，攻擊者們可以在幾個星期、幾個月的時間里不被檢測到，僅僅調(diào)查警告是不夠的。安全運維中心的分析師知道：要檢測和阻止每次攻擊是不可能的，所以必須采取一種前瞻性的方法來保護公司資產(chǎn)，找出活躍的威脅和被攻擊破壞的系統(tǒng)。威脅搜尋專注于積極地找到進入公司網(wǎng)絡的威脅，這就要求深入檢測有可能被破壞的系統(tǒng)，并查看大范圍歷史數(shù)據(jù)，從而發(fā)現(xiàn)傳統(tǒng)的警告機制沒有確認的惡意活動。

威脅搜尋

威脅搜尋涉及到很多工具和技能。如果分析師發(fā)現(xiàn)了可能遭受攻擊破壞的證據(jù)，就可以調(diào)查并決定發(fā)生了什么和如何發(fā)生的，以及被感染的其它系統(tǒng)，從而可以減輕攻擊并修復其造成的后果。不幸的是，人工搜尋可能要求大量的工作，但找到任何蛛絲馬跡的機會可能很有限。雖然找到被遺漏的問題可能很令人高興，但是，如果沒有適當?shù)募夹g，就會事倍功半。好在安全分

析技術和威脅情報的發(fā)展有助于充分利用有限的分析資源，實現(xiàn)更有效的搜尋。這些技術可以通過兩種方法起作用：一是關注于更有可能被攻擊破壞的資產(chǎn)，二是根據(jù)最新的威脅情報重新評估過去的事件。

搜尋被攻擊破壞的系統(tǒng)就像多數(shù)安全運維分析師所知道的那樣，在很多情況下，分析師有可能聽到普通員工報告說“感覺不對頭”從而了解到攻擊，而不是通過SIEM警告。高級攻擊往往要避免引起明顯的警報，但高級攻擊仍有可能留下有可能被遺漏的證據(jù)。被攻擊損害的系統(tǒng)的表現(xiàn)與其過去并不一樣。但是，依靠人工來確認異?；顒油遣粔虻?，并且在當今的威脅環(huán)境中也無法做到“水漲船高”。

這就需要高級分析。積極查找并徹底調(diào)查可能遭受攻擊損害的系統(tǒng)需要花費時間、精力、技能，而這些在多數(shù)企業(yè)中要花費較高的代價。高級分析根據(jù)發(fā)現(xiàn)的可能表明發(fā)生攻擊損害的異常行為，可有助于確認從哪里開始找。突然偏離其正常標準的系統(tǒng)可能正在運行新的未知進程，或者向不可信任的網(wǎng)絡發(fā)送大量信息，或者與企業(yè)常規(guī)的業(yè)務范圍之外的地理位置進行通信。每個異常有可能是無害的，也有可能指向了一個潛在的受攻擊破壞的系統(tǒng)。為發(fā)現(xiàn)這種異常，多數(shù)成功的搜尋都要從多種分析方法的組合開始：通過統(tǒng)計分析來確認異常，通過機器學習算法來評估這些異常，看其是否類似于某種惡意行為。根據(jù)這種分析，最有可能被攻擊破壞的系統(tǒng)就可以得到徹底的調(diào)查。

重新評估過去

威脅搜尋還包括通過檢查歷史數(shù)據(jù)來查找威脅。為克服傳統(tǒng)SIEM的局限性，威脅搜尋使用更新的基于大數(shù)據(jù)的平臺，可以長時間地從多種內(nèi)部源和外部源中收集、管理、分析海量的數(shù)據(jù)。而實時分析有可能由于“一見鐘情”而遺漏掉一些東西，大數(shù)據(jù)系統(tǒng)可用于檢查大量的歷史日志和可用的其它數(shù)據(jù)源。這就有了“后見之明”的好處，通過利用最新的威脅情報進行再次分析向安全分析師提供了重新評估數(shù)據(jù)的能力。例如，由于當時可用的時間問題，與攻擊者網(wǎng)絡基礎架構的潛在惡意連接有可能并沒有引起注意。通過將關于網(wǎng)絡通信的最新威脅情報對照歷史元數(shù)據(jù)，分析師就可以確認攻擊。

不管分析師是積極地搜尋受攻擊破壞的系統(tǒng)，或者是在重新評估過去的事件，目標都是增加成功搜尋威脅的機會。大數(shù)據(jù)平臺、實時的全球威脅情報、實施基于規(guī)則的統(tǒng)計分析和機器學習分析有助于減輕分析師的負擔。這些技術必須協(xié)同工作，并且結合分析師的洞察力和對這種更豐富的威脅獵取環(huán)境的知識。有了這種從追逐警告到獵取威脅的能力，安全運維中心就可以在面對高級攻擊時做到更為積極主動和有效。

征稿啟示

發(fā)現(xiàn)欄目旨在針對信息化建設中的技術、產(chǎn)品、解決方案和發(fā)展趨勢。欄目評論的內(nèi)容涉及網(wǎng)絡、存儲、計算、云、系統(tǒng)、安全、運維和管理等方面內(nèi)容，為了更好的實現(xiàn)這個目標，使發(fā)現(xiàn)欄目的文章更加精彩、充實、實用，特向廣大讀者朋友征集稿件，字數(shù)在3000字左右，要求必須原創(chuàng)。希望廣大讀者朋友踴躍投稿。

投稿須知：

1.歡迎采用電子郵件形式投稿，稿件，郵件可直接發(fā)給投稿信箱：netadmin@365master.com。以電子郵件投稿的讀者，請在郵件主題中注明“投稿”字樣。

2.來稿請以TXT文本格式保存。文章中需要插入圖片者，請將清晰圖片另存為BMP/JPEG/TIF格式。

3.所有來稿本刊會在五個工作日內(nèi)回信確認是否收到，一個月內(nèi)確認是否發(fā)表。作者請在來信中注明自己的姓名、工作單位、聯(lián)系地址、身份證號碼等信息，以便本刊隨時與您聯(lián)系。如未得到回復，請您確定一下郵件是否正常發(fā)出，若重發(fā)后仍未得到回復，可以打電話查詢，編輯部電話：010-88558021。