用例是安全监控活动的核心。组织需要一个过程来识别、实现和维护安全监视用例。这些过程不能太复杂,因为安全监控需要快速和持续的变化,以适应不断变化的威胁。
在最新发布的《年度SIEM检测风险状态报告》中,CardinalOps揭示了企业SIEM中检测覆盖和用例管理的当前状态。
使用MITRE ATT&CK v13中的196种攻击技术作为基准,研究人员发现SIEM实际的检测覆盖率仍然远远低于大多数组织所期望的水平。更糟糕的是,组织通常没有意识到他们假设的理论安全性与实践中的实际安全性之间的差距,从而对他们的检测状态产生了错误的印象。
我们发现,平均而言,企业SIEM有如下特点:
虽然自2022年以来,SIEM的检测覆盖率和规则健康指标都提高了几个百分点,但研究人员将这主要归因于抽样的差异,也因为研究组织在今年的数据集中添加了更多更成熟的组织。
接下来,研究人员提供了一系列最佳实践建议,以帮助CISO和检测工程团队应对这些挑战,并更有意识地了解如何测量检测覆盖率,并随着时间的推移不断对其进行改进。这些建议都是基于安全团队和SIEM专家(如google Cloud首席信息安全官办公室、前Gartner研究副总裁兼杰出分析师Anton Chuvakin博士等)的经验得出的。
这份报告的目标是帮助安全社区认识到将自动化、可重复和一致的流程引入检测工程的重要性,并提供独立的基准,使CISO和SOC领导者能够回答“我们准备如何检测最高优先级的威胁?”
根据Forrester Research的说法:
“最终,SIEM仍然是安全运营中心(SOC)的运营系统,是支撑SOC的基础,它不会消失……”
事实上,根据《SANS 2023 SOC调查报告》显示,SIEM和EDR被认为是拥有有效SOC的两大关键技术。
大约一年前,Google Cloud的CISO Anton Chuvakin在Twitter上发起的一项民意调查也支持了这一观点:
【在被问及“2022年对SOC最重要的工具”时,44.6%的人选择了SIEM】
正如一位安全负责人所解释的那样,即使一个组织正在使用EDR来检测和阻止端点层的恶意活动,它仍然需要一个具有自定义检测功能的SIEM,它可以作为关键的“后盾”来捕获EDR解决方案遗漏的攻击。
发生这种情况可能有几个原因,包括复杂的对手已经找到了禁用或绕过EDR控制的方法;相关的EDR警报因噪音过大而被禁用;或者对手已经设计出了“隐藏在噪音中”的未调优警报。
那么,我们如何衡量并持续改进对组织最重要的威胁的覆盖范围呢?MITRE ATT&CK框架可以提供帮助。
自2013年创建以来,MITRE ATT&CK框架一直受到安全运营专业人士的关注。根据ESG的研究,MITRE ATT&CK的使用现在已经达到了一个拐点。经过9年的发展,MITRE ATT&CK及其用例已经远远超出了参考架构的范畴。在许多方面,MITRE ATT&CK已经成为安全运营的“通用语”。
作为了解对手战术和行为的标准框架,MITRE ATT&CK现在描述了APT28、Lazarus Group、FIN7和LAPSUS$等威胁组织使用的500多种技术和子技术。
根据ESG的研究,89%的组织目前使用MITRE ATT&CK来降低安全运营用例的风险,例如确定检测工程的优先级,将威胁情报应用于警报分类,以及更好地了解对手的战术、技术和程序(TTPs)。
MITRE ATT&CK引入的最大创新是,它扩展了传统的入侵杀伤链模型,超越了静态的IOCs(如攻击者可以不断更改的IP地址),对所有已知的对手TTPs进行了分类。
这些TTP分为以下两类:
MITRE ATT&CK也为进攻和防守团队标准化了分类词汇。正如Palo Alto Networks公司前首席信息安全官、现任The CyberWire首席分析师Rick Howard所说:
“洛克希德·马丁(Lockheed Martin)公司的杀伤链模型是概念性的,而MITRE ATT&CK框架则是可操作的。在该框架出现之前,我们都在关注同样的活动,但却无法以任何有意义的方式集体讨论它,因为每个供应商和政府组织都有自己的语言,而这些组织的任何情报都无法与其他任何人共享,除非进行大量的人工转换工作。”
此外,它也成为了IT领导者与高管沟通防御态势的标准方式,帮助解释它与新闻中听到的最近的攻击和漏洞(如微软Outlook漏洞,Follina或okta PassBleed)的关系,以及回答经典问题“我们准备如何检测最高优先级的威胁?”
研究数据显示,企业SIEM平均呈现如下状态:
以下是Splunk SPL的一些具体例子,说明了规则可能被打破的一些方式:
由CardinalOps开发的MITRE ATT&CK安全层首次通过测量检测覆盖的“深度”扩展了ATT&CK覆盖的概念。它通过将每个检测映射到特定的安全层(如端点、网络、电子邮件、云、容器和IAM)来实现这一点,然后枚举给定技术所覆盖的不同层的数量。
这使SecOps团队能够确保他们在多个层面上对对他们最重要的技术进行“深度检测”。
此外,通过立即识别与“皇冠资产”(如最敏感的应用程序和数据)相关的盲点,安全层使组织能够将其覆盖范围与期望的业务成果联系起来。它还揭示了缺失的遥测和数据源,可以纳入他们的探测策略,以增加覆盖深度。
我们的数据显示,企业SIEM中最常见的安全层是:Windows、Network和IAM;紧接着是Linux/Mac、云、电子邮件和生产力套件;最后是容器。
容器的低排名很有趣,因为根据Red Hat research的研究结果显示,68%的组织都在运行容器。然而,我们的数据显示,它们通常没有受到可疑或异常行为的监控。
对此的一种解释可能是,由于基于微服务的应用程序环境的动态性,监控它们可能是一项巨大的挑战,并且它们可能会给SIEM平台带来大量数据。另一种解释可能是,检测工程师面临着为这些高动态资产编写高保真检测以警告异常活动的前景的挑战。
组织需要在SOC中更有意识地进行检测。但是,我们应该检测什么?我们有这些场景的用例吗?它们真的有用吗?它们能帮助我的SOC分析师有效地进行分类和回应吗?
以下是一系列最佳实践建议,可提高SOC的检测覆盖率和检测质量。
发现假阴性的方法是什么?目前漏掉了哪些敌对的技术、行为和威胁?
用例是如何管理和确定优先级的?通常,我们发现它们是通过一个ad-hoc过程读取到backlog的,这个过程是由以下因素共同驱动的:
今天的检测是如何发展的?将威胁知识转化为检测的过程是什么?
开发新检测通常需要多长时间?
是否有一个系统的过程来定期识别由于基础设施变更、发明人变更或日志源格式等原因而不再有效的检测?
关注有效性、覆盖面和改进。向SOC团队提出以下问题:
我真的检测到它了吗?
我能很好地检测它吗?
我的分类和响应是否正确?
根据我们的业务重点、珍贵资产、行业部门等,我需要检测什么?
我今天检测了什么?
我们是否缺少可以提高我们在高优先领域覆盖率的数据来源?
在商定的时间内,选择3-5个增强部分来解决上一部分的问题。
检测工程流程与其他安全和IT管理流程没有什么不同。随着IT现代化并使用DevOps和SRE方法,SOC也应该如此。无法衡量的东西是无法改进的。许多SOC指标——聚焦人员、流程和技术——都是持续改进所必需的。
最后,围绕如何增加检测覆盖率和减少检测非功能规则的时间设置组织目标。
原文链接:
https://cardinalops.com/wp-content/uploads/2023/06/3rd-Annual-State-of-SIEM-Detection-Risk-CardinalOps-2023.pdf#gf_20