摘要：本文將帶您通過進入到托管安全服務提供商Alert Logic公司進行一次虛擬的旅游，為您揭示如何實施對安全漏洞的主動監測和加速事件響應。

走進一處安全操作中心(SOC)，您將獲得的第一印象便是一個巨大的作戰室，在其整個前壁上懸掛著一個超大屏幕，上面顯示著一副世界地圖和無休止的成排的表格數據。

分析師們坐成一排，目不轉睛的面對著屏幕，仔細觀察著自己所監視的數據流。大多數的光來自屏幕墻，創造一個類似坑洞的氣氛。整體感覺是一種安靜的效率。

歡迎來到德克薩斯州休斯敦Alert Logic公司的24/7全天候安全操作中心。Alert Logic公司的分析師們就是在這里監控客戶應用程序和網絡，捕捉任何安全攻擊或違規跡象的。對于那些預算有限、規模較小、或沒有專門的安全團隊的企業組織而言，與諸如Alert Logic公司這樣的托管安全服務供應商合作，能夠有效的幫助他們關閉安全漏洞。

“企業客戶們現在所考慮的是，’我們有太多有價值的數據，卻沒有更好的安全功能’。”Alert Logic公司的首席執行官Gray Hall表示說。這是由一種投資于特定的技術，并希望這些特定的技術能夠足以防止相關安全違規行為朝著一種更為積極的，目標在于能夠在惡意攻擊者造成重大損害之前，找到攻擊者的方法的轉變。

這并不是說傳統的端點解決方案，比如終端的殺毒軟件、防火墻、和IDS/IPS 已經失去了效用。但是病毒捕捉團隊——SOC的那些尋找病毒感染或安全違規跡象的工作人員們——則能夠幫助企業組織確定和識別襲擊者是否已經打破了過去傳統的安全措施。在他們的努力下，SOC得以能夠為企業用戶提供高安全威脅警惕性、專業知識以及先進的安全技術的完美結合。

為了保護企業客戶的IT基礎設施，SoC需要將來自不同來源的數據整合到一個集中的平臺，以方便專家們知道如何應對相關的安全事件。

分析師們將監視網絡異常作為監控服務的一部分，例如當一份文件由一個企業內部的系統傳輸到一個IP地址，而該IP地址所屬的國家是這家企業用戶并沒有任何業務聯系的。在一個真實的企業客戶案例的情況中， Alert Logic公司的分析師發現了一臺機器，這是一臺打印機，該打印機與一個位于俄羅斯的IP地址有了通訊。于是，當分析師們提醒著家企業客戶之后，該連接就被立即關閉了。

“此次打印機事件是我們所監測到的最典型的一個案例。”Alert Logic公司ActiveWatch服務高級主管杰森·佩恩表示說。

在Alert Logic公司，分析師們依靠一款能夠從應用程序、事件數據、日志和客戶數據中心的設備收集安全事件的平臺。該服務還延伸到公共云的工作負載，如運行在AWS的工作負載。如果企業客戶已經部署了一款網絡應用程序防火墻，分析師也將監控并分析網絡交易數據。

分析平臺將來自其他來源的信息關聯起來，彈出他們認為存在安全隱患的數據信息，進行標記，并讓分析師進行進一步的調查。警報出現在監控操作間前面的大屏幕上，同時還包括了各種客戶信息。分析師有15分鐘的時間來分析問題，驗證攻擊行為是否成功，了解其所產生的影響，并為客戶升級。

“大屏幕將會有一個倒計時，當該計時接近15分鐘時，會改變顏色。”佩恩說。

基因組信息學公司GenomeNext依靠Alert Logic公司來幫助他們監控其在Amazon Web服務上的開發和生產環境，并在一旦有意外事件發生時，第一時間立即通知他們。當發生設備脫機離線時，GenomeNext公司將在15分鐘內收到警報，告知他們相關的設備需要進行一下檢查。在最近的另一個案例中，一名開發人員編了寫測試代碼，而該代碼是絕不會發布到生產環境的——其密碼必須以明文形式發送。SOC團隊捕獲了該測試代碼，驗證了警報，評估潛在的危害，并向GenomeNext發送了一封郵件描述該問題，以及如何解決。

“那是我們在30分鐘內寫出的代碼。”GenomeNext公司的聯合創始人兼首席執行官James Hirmas表示說。“這是一個非常短暫的轉變。”

與客戶合作

SoC是大型的、復雜的操作。為了進行有效的防御，SOC 的工作人員必須了解每家企業客戶的業務，以及為什么做出某些決策，這樣他們就可以優先考慮警報，并提出相應的建議。Alert Logic公司會詢問企業客戶，哪些數據信息對于他們而言是最有價值的，所以該監測團隊就知道需要重點監控哪些方面了。畢竟，這是一項團隊工作。

“如果一家客戶打電話進來尋求某方面的幫助，我們將盡力提供力所能及的幫助。”佩恩說。“我們確保我們的分析師必須了解我們絕不會登陸到客戶的任何系統。這是我的底線。”

Alert Logic公司不提供事件響應能力。相反，除了提供安全威脅警報，他們還為客戶提供了完整的記錄，包括：相關的安全威脅事件發生在何處、實際執行的有效載荷、以及系統的響應情況。客戶可以看到分析師們所能夠看到的所有的數據，以及為什么這些數據會被標記，以及相應的整治的建議。例如，在一個SQL注入攻擊案例中，分析師將包括實際攻擊的字符串和結果輸出。如果分析師懷疑有人試圖強行破解密碼，則事件記錄將顯示與失敗登錄嘗試相關的IP地址。

“我們不只是告知客戶發生了安全威脅事件。我們將詳細的介紹給他們相應的情況，包括我們最初看到的情況，以及我們是如何、在哪里對于該事件展開調查的;有效載荷是什么;其表明了什么;我們將與企業客戶協同工作，確?？蛻袅私獍l生了什么;以及我們為什么會標記該事件。”佩恩說。

分析師負責確保及時同時企業客戶團隊的相關責任人員，使其完整的了解到底發生了什么情況，并收到具體的處理建議。例如，如果惡意軟件是機密數據，分析師可能建議在防火墻阻塞IP地址或關閉遠程桌面端口。

企業客戶基于SOC分析師所收集和提供的信息進行清理和修復處理工作，而Alert Logic公司的SOC將持續進行監測，以確保維修是足夠且有效的。“我們會安排特定的人員配合客戶們進行修復工作，直到我嗎看到相關的安全威脅事件已經停止。在這個過程中，溝通是雙向的。”佩恩說。

不止是監測

包括Alert Logic公司在內的大多數托管安全供應商都有一個活躍的情報智能小組，負責研究最新的安全威脅及分析實際攻擊?？梢傻陌踩{和其他威脅情報將被反饋到分析平臺，然后由SOC將其作為其監測的一部分。情報智能團隊可以要求SOC分析師保持對特定類型的安全威脅的重點關注。

分析師加載事件、日志和網絡數據流，以尋找需要進一步調查的指標。一般而言，SOC團隊產生5到15個手動事件，然后發送到智能情報團隊，佩恩說。智能情報團隊創建簽名，并將其添加到分析平臺，讓類似的事件將自動為其他客戶標記。

“這是一個不斷循環的人工分析、跨不同的客戶環境識別威脅、然后將應用信息反饋到檢測平臺的過程。”Alert Logic公司的首席安全官兼聯合創始人Misha Govshteyn表示說。“一家小的企業客戶也能夠獲得擁有一處SOC，進而對成千上萬的網絡的成分的能見度的好處。”

如果事件變得更復雜，或客戶需要更多的信息，Alert Logic公司可以將該事件升級到由團隊的其他專家負責處理。如果當前的危機是一個Web應用程序的攻擊，那么一名擅長挖掘代碼和了解如何修復攻擊的分析師便可能被派來協助?；蛉绻罩局杏腥魏萎惓＃敲匆幻瞄L理解系統日志的專家則可以幫助企業用戶設置安全策略，以獲得正確的數據，進而更好地了解發生了什么事情。

Alert Logic公司還提供一項ActiveWatch Premier團隊，這是一種“白手套服務”，在該項服務中，分析師將被分配給一家特定的企業客戶。分析師通過“梳理怪異的指標”進行人工分析，并將這些數據信息與其他環境的信息進行比較。

持續的監控是一項嚴肅的承諾。企業客戶唯一想聽到的事情便是：安全違規是在下班時間發生的。 Alert Logic公司有兩處SOC:一處位于休斯頓，另一處位于英國的卡迪夫。英國團隊下班的時候，休斯頓剛剛醒來，反之亦然。休斯頓的SOC房間的角落里會有一面威爾士旗，而在卡迪夫中心則有一面美國國旗，這是為了提醒分析師們自己是同一個分析師團隊的擴展部分。

并不是每個人都需要SOC

在參觀了SOC，并了解了該團隊的連續監測工作之后，我們不禁很容易的會開始思考每家企業都需要投資于SOC了。但事實并不完全是這樣， Alert Logic公司及其他供應商可能已經使更多的企業組織需要通過SOC來工作了，但事實上，只有當您企業已經做了其他的安全投資的前提下，這樣做才是有意義的。

每家企業組織都有各自不同的安全成熟度水平;他們是否已經為SOC做好了準備取決于自身的具體水平，Hall說。那些只有基本安全控制的企業是處在成熟度模型的最低層，他們一般會部署終端安全工具，如防病毒、網絡防御如防火墻、以及VPN來保護遠程連接。這些活動通常由 IT工作人員來負責管理，并且主要的焦點做足這方面的工作，而不出現過失。

隨著企業組織的日趨成熟，并開始意識到他們需要做的遠不僅僅只是基本的安全保障工作，問題就成為如何擴大其安全專業知識。企業組織通常會查看一些專業系統如IDS/IPS、SIEM、WAF，和漏洞管理，但其IT團隊可能不知道如何應對這些系統所產生的警報。于是，該企業組織應該建立自己的內部安全團隊，聘請外部安全人員，甚至購買安全即服務。

“于是，您所在的企業組織便開始達到一個新的層次了，您會說，好吧，我想做的不僅僅是基礎性的安全保障，但我們也不能真正一步到位的選擇一個全面的SOC。“也許我會在我們的IT團隊聘用一些專門的安全管理人員。” Hall說。

Hall說，Alert Logic公司實際上就是挑選了大量處在這一階段中的客戶，因為這些企業組織傾向于尋求提高他們的安全能力的方法。GenomeNext公司便是其中一個例子，該公司在遷移到24/7全天后的SOC之前，原本采用Alert Logic公司的服務用于其Web應用程序防火墻，日志管理和安全威脅管理能力。

一旦企業組織有了專門的安全團隊來實施相應的管理政策，如確保員工在他們的機器上安裝了終端安全軟件，且防火墻配置正確，他們將開始尋找其他方式來改善他們的操作。那么此時，便是時候開始思考SOC了。

“我們的客戶表示說，’我們希望得到更好的，我們希望提升我們的安全。’”Hall說。

雖然一家公司可能能夠在低端的安全模式下從SOC中獲益，但這將會花費大量的時間和預算才能成功。這不僅是一項技術投資，而且是一種心態的轉變，因為企業組織必須優先考慮安全問題。幾乎無窮無盡的數據泄露事件，實際上正推動著企業組織更快的朝著成熟模型邁進，因為企業組織的高級管理人員和董事會已經看到了“剛剛足夠的”安全所帶來的影響，Hall說。

不同的關注點

在訪問的當天，休斯敦部分地區遭遇了停電，其影響了Alert Logic的SOC。但正是由于Alert Logic及時轉移到了其位于英國卡迪夫的中心繼續實施監測，同時等待電力恢復，使得他們的客戶并沒有受到影響。該公司針對停電、颶風和其他中斷事故已經制定了一套備災計劃。

對于大多數企業組織而言，大規模的攻擊，如安全違規行為所導致的數據被盜，或應用程序和實例從AWS上被刪除，均會被認為是災難性的。而在Alert Logic公司看來，最壞的情況下會出現跨越多家客戶的安全威脅事件，佩恩說。其可能是一次協調性的攻擊或一個大型蠕蟲病毒的爆發，要擊垮一家企業組織。對于這種情況，SOC可以組成一個專門的團隊，定期監控受影響的客戶，并提出關于如何減輕威脅方面的建議。

鑒于如此多的安全措施都變得自動化，那么繞過SOC而直接選擇采用自動檢測是否更有意義呢?自動化檢測的作用是有限的，特別是考慮到當前安全威脅復雜情況的不斷變化。新的威脅正在被發現，并且制定了新的攻擊方法。如果企業組織沒有相關的安全人員能夠將自動警報轉換為可操作的措施，那么他們也就可能沒有任何檢測能力。

“當您企業組織考慮采用自動化的工具方法來檢測相關的安全威脅時，有太多的變量是您所需要兼顧的。” Hall說。“而我們唯一的辦法就是通過密切的觀察和保持警惕。”

現在，很多企業組織依然意識到單單依靠購買傳統的安全技術方法是不夠的。預防需要兼顧安全隱患檢測并重，而選擇安全運營中心則是一種利用熟練的安全人員、先進的分析工具、實施連續監測的有效措施。“如果您不知道您在做什么，就會很容易做錯事。”Govshteyn說。