Inside the BHIS SOC: A Conversation with Hayden Covington

| Melissa Lauro

Melissa 是一位内容策略师，拥有20年跨B2B和B2C行业的写作教学和编辑工作背景。五年前，她以BHIS渗透测试报告编辑的身份加入安全领域，帮助团队优化每份客户报告的结构和影响力。最近，她深入挖掘BHIS工具、分析师和文化背后的故事——捕捉网络安全在幕后实际运作的叙事。

当你摒弃分层的工单队列，代之以协作、敏捷性和实时响应时，会发生什么？在这次采访中，Hayden Covington 带我们深入了解BHIS安全运营中心的幕后——在这里，分析师不升级工单，他们解决工单。了解这个小型、高信任度的团队如何更智能地工作、更快地行动，并彻底阻止威胁。

什么是安全运营中心（SOC）？

Melissa： 对于刚接触网络安全世界的人，你能先解释一下什么是SOC吗？

Hayden： 当然。SOC，即安全运营中心，就像是安全监控的神经中枢。传统上，它的功能有点像一个有多级分析师的帮助台，他们会将问题从一级升级到下一级。第1级处理基本事务，然后将任何复杂的问题传递给第2级或第3级（如果需要）。

BHIS的SOC与其他SOC有何不同？

Melissa： 那么，是什么让BHIS的SOC与众不同呢？

Hayden： 我们不使用那种传统的分层结构。相反，任何分析师都可以查看一个警报，如果需要帮助，他们可以直接联系更有经验的人。没有正式的交接过程。而且我们深度协作。我们的分析师会与客户保持通话，即使是在全面的事件响应过程中，因为他们已经掌握了上下文。我们不仅仅是警报响应者；我们帮助客户实时解决问题。

Melissa： 所以，这更少是“推卸责任”，而更多是主动承担责任？

Hayden： 正是如此。我们不仅仅是发送警报。我们与客户合作，快速而彻底地做出响应。这真的是一种白手套服务，我可以说我们提供的是无与伦比的安心保障。

BHIS SOC如何获取日志等信息？

Melissa： 你们如何获取使这一切真正运转所需的信息？

Hayden： 这是个很好的问题。我上一个工作的SOC都在一个房间里，如果情况真的变得很糟，我们实际上可以下楼拔掉服务器插头。那是一个政府组织，那种紧急破窗协议实际上就在手册里。BHIS是一个完全不同的模式。如果我们弄垮了客户的服务器，可能会让他们损失金钱，所以遏制措施必须更聪明。我们的SOC将所有信息集中到一个中央SIEM（安全信息和事件管理）平台，因此我们可以在一个视图中搜索所有客户的日志。这意味着我们不需要在各个服务器和组织之间跳来跳去。它还帮助我们发现跨环境的模式。有一次，我们抓住了一个恶意软件，然后意识到另一个客户有一个非常相似的信标，所以我们也能提前通知他们。

Hayden，你在BHIS SOC中处于什么位置？

Melissa： 你在SOC中的角色是什么？

Hayden： 我负责SOC的运营方面。我们最近重组为两个部分：工程和运营。工程负责基础设施——确保一切运行平稳。运营是处理警报、检测工程和事件响应的地方。我领导那个团队。我们还有专注于威胁狩猎和自动化等事项的小组。

Melissa： 这个结构里还有谁？

Hayden： 我们有一位工程负责人和一位负责客户沟通的人员，还有另外几位SOC负责人，所以这是一个紧密协作且不断发展的团队。

工单的典型处理流程是怎样的？

Melissa： 带我了解一下新警报或工单进来时会发生什么。

Hayden： 分析师看到一个警报，通常是由我们自定义的检测规则触发的。如果感觉不对劲，他们会在我们的群聊中征求第二双眼睛的意见。如果情况严重，我们会快速行动。我们跳上电话，召集客户，引入事件响应人员，并开始遏制。

Melissa： 你们全部实时进行吗？

Hayden： 是的。我们甚至有过与多名团队成员和客户的安全团队一起实时处理问题的通话。

我听说你们偶尔会遇到一些棘手的工单。给我讲一个例子。

Melissa： 你能分享一个特别令人难忘的事件吗？

Hayden： 最近的一个警报是通过我们基于风险的规则触发的。我们的一位分析师看到了它，觉得有些不对劲。他检查了用户，发现是域管理员。这常常是一个危险信号。然后他注意到一些非常奇怪的行为：计划任务反复触发PowerShell执行。我的意思是，这太奇怪了。最关键是他注意到一个带有冒犯性名称的DLL——#脏话——哈哈——那一刻他召集了团队的其他成员。

分析师： 关于它的一切都尖叫着“有问题”。它在运行VBScript，解码二进制文件，下载加密的有效载荷。而且那个DLL的名字是个明显的迹象。然后它奇怪地引用了一个由可疑的安全研究员构建的工具。所以我谷歌了一下，那时我确信我们需要升级处理。

Hayden： 我们引入了事件响应人员，增加了更多团队成员，并让客户加入。就在那次通话中，他们意识到他们的一个开发人员下载了一个受损的VMware工具版本。他们就在阅读了一篇说不要下载它的文章后仅仅几小时下载了它。这是一个典型的水坑攻击。

Melissa： 这时机太巧了。

Hayden： 是啊，我们简直不敢相信！但这无疑证明了我们所做工作的价值，并向客户展示了当出现这样的漏洞时，他们可以依靠他们的SOC来发现重大事件。客户的CISO告诉他们的CTO：“这正是我们雇佣这些人的原因。”

Melissa： **太好了！**所以BHIS及时抓住了它。

Hayden： 谢天谢地，是的。这是活跃的命令与控制（根据那篇新闻报道，可能与Conti的一个分支有关）。我们尚未观察到横向移动到其他设备，而那将是他们在进行大规模勒索软件攻击之前的下一步。

告诉我你是怎么加入BHIS的。

Melissa： 那么，你是怎么进入网络安全领域并最终来到BHIS的？

Hayden： 最初，我想成为一名游戏开发者，但我最终意识到我讨厌编程。所以我转向网络安全，在Regent大学获得学位，并从GRC（治理、风险与合规）实习开始。最终，我在一家造船厂实习，并在他们的SOC工作。我在那里成为了一名全职分析师，呆了大约四年。两位前同事Hal和Troy去了Black Hills。其中一位开玩笑说我应该申请一下，所以我就申请了。现在我已经在这里将近三年了。

Melissa： 听起来非常合适。

Hayden： 确实如此。我们一直在改进，一直在协作，特别是与我们的红队。进攻与防御之间的这种来回交流是在这里工作最酷的事情之一。

向Hayden本人学习安全运营的基础知识，参加他的Antisyphon课程！

安全运营基础 一个16小时的课程，提供直播/虚拟和点播形式！