Post on 14-Jul-2020
扰乱破坏者威胁追踪和 SOC 调查的发展
www.mcafee.com/cn/solutions/lp/evolution-soc.html
2日期,具体业务组
研究目标对于成熟度级别各不相同的组织而言,追踪威胁的现行和预测的最佳实践分别是什么? 自动化、人工智能和机器学习的影响 威胁追踪人员深入核心 SOC 运营的具体战术 沙盒技术的作用 执行威胁追踪的关键工具 威胁情报的作用
报告:扰乱破坏者是技能还是科学?
3日期,具体业务组
研究规格• 727 份访谈• 通过在线访谈收集的数据• 访谈于 2017 年 5 月进行
样本来源• McAfee 客户,包括安全产品咨询委员会 (SPAC)
全球范围内说英语的客户• 一般市场样本
美国、加拿大、英国、德国、澳大利亚、新西兰、新加坡
目标受众• 组织必须拥有超过 1000 名员工• 受访者必须至少花费 20% 的时间进行威胁追踪• 必须拥有沙盒及 SIEM 才符合受访条件
显著性测试• 本报告中所示的不同群体(无论是公司规模还是国家/地区等)
之间的区别基于显著级别达到 95% 的双边测试• 如果特定群体的调查结果明显高于其他群体,则表示具有显著性
示例
研究目标和研究规格
4日期,具体业务组
公司规模(以员工数量为基础)
34% 8% 8% 7% 5% 4% 3% 3% 27%
国家/地区
北美、欧洲和亚洲足够大的群体
US CA UK AU GE IN NZ SG 其他
每个地区的访谈数量
302296
129
34% 8% 21% 4% 19% 1% 2% 10% -
特大型企业
受众
31% 30%
16%13%
6% 5%
1k-2,5k 2,5k-5k 5k-10k 10k-50k 50k-100k > 100k
商业
5日期,具体业务组
Hunting Maturity Model (追踪成熟度模型),由 Sqrrl 的安全技术人员以及追踪人员 David Bianco 开发
要求受访者将其组织列入 5 个级别之一
0
1
2
3
4
级别
级别
级别
级别
级别
初级级别• 主要依赖自动化
警报• 很少或没有例行
数据收集
最低级别• 进行威胁情报指标
搜寻工作• 例行数据收集的级
别为中等或高等
程序化级别• 遵照其他人制定的
数据分析程序• 例行数据收集的级
别为高等或极高等
创新型级别• 制定新的数据分析
程序• 例行数据收集的级
别为高等或极高等
领先级别• 实现大多数成功的数
据分析程序自动化• 例行数据收集的级别
为高等或极高等
追踪成熟度模型
6日期,具体业务组
接受调查的组织中有近半数 (45%) 希望在三年后达到 4 级。
成熟度模型 – 公司想要有所改善
您的公司目前处于什么级别?
3%
11%
32%
40%
14%
第 0 级 - 初级级别
第 1 级 - 最低级别
第 2 级 - 程序化级别
第 3 级 - 创新型级别
第 4 级 - 领先级别
希望在3 年后达到什么级别?
1%
4%
16%
34%
45%
第 0 级 - 初级级别
第 1 级 - 最低级别
第 2 级 - 程序化级别
第 3 级 - 创新型级别
第 4 级 - 领先级别
7日期,具体业务组
主要研究成果:先进的 SOC 可以取得更好的结果
在最先进的 SOC 中,有 71% 在不到一周的时间内关闭了事件调查,有 37% 在不到 24 小时的时间内关闭了威胁调查
更先进的组织内的威胁追踪人员找出的根本原因比成熟度级别较低的威胁追踪人员多出 4.5 倍(90% 比 20%)
使用沙盒时,先进的 SOC 在各方面实现的价值高出 45%,这样不仅能节约成本和时间、改善工作流程,还能发现不可用的信息
改进调查的速度与深度
71% 在不到一周内关闭
找到的根本原因多出 4.5 倍
高级沙盒利用价值高出 45%
8日期,具体业务组
那么,先进的 SOC 是如何取得这些结果的呢?
68% 的受访组织表示将通过改善自动化和威胁追踪流程来实现改进
更为成熟的 SOC 实现自动化的可能性高出 2 倍
成熟度越高取得的结果越好,但仍然需要实现临时措施和有序流程的平衡,两者是相辅相成的 – 这才是追踪威胁的正确武器
搞清楚工作原理并实现自动化:人机合作
0%
10%
20%
30%
40%
50%
60%
70%
80%
流程自动化的
百分比是多少?
您认为流程自动化的
最佳百分比是多少?
第 0/1 级 第 2 级 第 3 级 第 4 级
9日期,具体业务组
工具盛行!
他们利用沙盒执行更深入的分析
42
63
35
45
55
65
75
第 0/1 级 第 2 级 第 3 级 第 4 级
使用沙盒的调查的平均数量
增加
50%
环境复杂性!
解包代码!
“最好是能在威胁发生之前通过漏洞测试阻止它发生。沙盒在这里很有用。”
威胁追踪人员采访,定性会话,McAfee 威胁追踪人员调查,2017 年 5 月
随着 SOC 团队的成熟,使用沙盒的原因从依靠自动化和工具整合演
变成对先进威胁执行复杂分析
更为成熟的 SOC 使用多个沙盒,并且不只是为了确认而调查和验证文件中的威胁
10日期,具体业务组
他们有目的地策划威胁情报源,并购买情报以填补空白
第 0/1 级 的 SOC 对公共威胁情报源的依赖程度比任何其他类型的威胁源高出 50%
相比较而言,第 4 级别的SOC 购买专家威胁情报的可能性高出 2 倍 , 而使用自定义数据源的可能性高出近 50%。
0 20 40 60 80
购买 4 份威胁情报源内部
自定义公共威胁情报源
第 0/1 级
0 20 40 60 80 100
购买 4 份威胁情报源内部
自定义公共威胁情报源
第 4 级
11日期,具体业务组
他们的自定义程度更高
成熟的 SOC 花费在自定义方面的时间多出 70%,他们更多地使用脚本和开源
-
5.00
10.00
15.00
20.00
0%
20%
40%
60%
第 1 级 第 2 级 第 3 级 第 4 级
小时
数
受访
者百
分比
您花费了多少时间为威胁
追踪进行研究和工具自定义?
每月不到 5 小时 每月 5-10 小时 每月 10-20 小时
每月 20 小时以上 平均小时数
12日期,具体业务组
成熟的威胁追踪组织保持以下良好习惯: 确定可自动化的流程 使用手头工具执行更深入的分析 故意策划情报 定制和修补以获得更丰富的洞见
良好的追踪不一定必须得努力工作才能取得实际成果
13日期,具体业务组
下载报告、摘要和信息图表,请访问https://www.mcafee.com/cn/solutions/lp/evolution-soc.html
订阅每两个月发送一次的 McAfee SIEM Insider 简讯,随时了解最新动态:https://www.mcafee.com/cn/products/lp/siem-newsletter-signup.aspx
收听《SC》杂志技术主编 Peter Stephenson 博士以及McAfee 的 Michael Leland, McAfee,讨论"Finding Context in Advanced Threat Hunting" (发现先进威胁追踪的背景)。注册网络广播,请访问https://www.mcafee.com/cn/events/webinars.aspx
紧随 SOC 的发展步伐!