BHIS安全运营中心幕后:非传统SOC如何高效应对威胁

本文深入探讨了Black Hills Information Security(BHIS)安全运营中心(SOC)的独特运作模式。区别于传统的分层告警升级架构,BHIS SOC采用高度协作、无层级束缚的实时响应模式,分析师全程参与事件处置,与客户紧密合作,并通过集中化SIEM快速识别跨环境威胁。文章通过具体案例展示了该模式如何成功拦截一起复杂的供应链攻击。

Inside the BHIS SOC: A Conversation with Hayden Covington

作者:Melissa Lauro

当您摒弃分层工单队列,代之以协作、敏捷和实时响应时,会发生什么?在这次采访中,Hayden Covington带我们深入BHIS安全运营中心(SOC)的幕后——在这里,分析师升级工单,他们解决工单。了解这个小规模、高信任度的团队如何更智能地工作、更快地行动,并彻底阻止威胁。

什么是 SOC?

Melissa: 对于刚进入网络安全领域的新手,您能先解释一下什么是SOC吗?

Hayden: 当然。SOC,即安全运营中心,就像是安全监控的神经中枢。传统上,它的功能有点像一个帮助台,拥有多个层级的安全分析师,将问题从一级逐级上报到下一级。一级分析师处理基础事务,然后将任何复杂的问题传递给二级或三级分析师处理。

BHIS的SOC与其他SOC有何不同?

Melissa: 那么,是什么让BHIS的SOC与众不同呢?

Hayden: 我们使用那种传统的分层结构。相反,任何分析师都可以查看一条告警,如果需要帮助,他们会直接联系更有经验的人。没有正式的交接流程。并且我们深度协作。我们的分析师与客户保持通话,即使是贯穿整个事件响应过程,因为他们已经掌握了背景信息。我们不仅仅是告警响应者;我们还帮助客户实时解决问题

Melissa: 所以,这更少关乎推卸责任,更多是主动承担问题?

Hayden: 完全正确。我们不仅仅是发送告警。我们与客户合作,快速、彻底地进行响应。这确实是一种白手套服务,我可以说,我们提供的是无与伦比的心安。

BHIS SOC如何获取日志等信息?

Melissa: 您们如何获取真正使其运作起来所需的信息?

Hayden: 这是个很好的问题。我上一家工作的SOC所有人员都在一个房间里,如果情况真的变得很糟糕,我们实际上可以下楼去拔掉服务器的插头。那是一个政府组织,而这种紧急"破窗"协议确实写在行动手册里。BHIS则是一个完全不同的模式。如果我们弄垮了客户的服务器,可能会让他们损失金钱,所以遏制措施必须更智能。我们的SOC将所有数据都拉取到一个集中的SIEM(安全信息和事件管理)系统中,因此我们可以在一个视图中搜索所有客户的日志。这意味着我们不必在各个服务器和组织之间跳转。这也帮助我们发现跨环境的模式。在一个案例中,我们捕获了一个恶意软件,然后意识到另一位客户有一个非常相似的信标,因此我们也提前联系了他们。

Hayden,您在BHIS SOC中担任什么角色?

Melissa: 您在SOC中的角色是什么?

Hayden: 我负责SOC的运营端。我们最近重组为两个部分:工程和运营。工程负责基础设施——确保一切平稳运行。运营处理告警、检测工程和事件响应的部分。我领导那个团队。我们还有专注于威胁狩猎和自动化等事务的小组。

Melissa: 这个架构中还有谁?

Hayden: 我们有一位工程负责人和一位负责客户沟通的人员,还有几位其他SOC负责人,所以这是一个紧密联系且不断发展的团队。

工单的典型处理流程是怎样的?

Melissa: 带我了解一下当一个新的告警或工单进来时会发生什么。

Hayden: 分析师会看到一条告警,通常是由我们的一条自定义检测规则触发的。如果感觉不对劲,他们会在我们的群聊中寻求第二双眼睛查看。如果情况严重,我们会迅速行动。我们立即召开电话会议,将客户拉进来,通知事件响应团队,并开始遏制。

Melissa: 您们全程都是这样实时处理的吗?

Hayden: 是的。我们甚至有过与多名团队成员以及客户的安全团队一起实时处理问题的电话会议。

听说您们偶尔会遇到一些棘手的工单。给我讲一个例子。

Melissa: 能分享一个特别令人难忘的事件吗?

Hayden: 最近的一条告警是通过我们的一条基于风险的规则触发的。我们的一位分析师看到后感觉有些不对劲。他检查了用户,发现是一个域管理员。这通常是一个危险信号。然后他注意到一些非常奇怪的行为:计划任务触发了重复的PowerShell执行。我是说,这非常奇怪。最要命的是,当他注意到一个带有冒犯性名称的DLL——#脏话#——哈哈——那个时刻他叫来了团队的其他人。

分析师: 它的一切都明明白白地显示着**“有问题”。它在运行VBScript,解码二进制文件,下载加密的载荷**。而且那个DLL的名字就是个明显的迹象。然后它还奇怪地引用了一个由可疑的安全研究员构建的工具。所以谷歌了一下那时我才确信我们需要升级处理。

Hayden: 我们联系了事件响应团队,增加了更多团队成员,并把客户拉了进来。就在那次电话会议中,他们意识到他们的一个开发人员下载了一个受感染的VMware工具版本。他们恰恰在读完一篇告诫不要下载它的文章几小时后就下载了它。这是一个典型的"水坑攻击"。

Melissa: 这个时机太巧了。

Hayden: 是啊,我们简直不敢相信! 但这无疑证明了我们所做工作的价值,并向客户展示了,当出现这样的漏洞时,他们可以依靠他们的SOC来捕捉重大威胁。客户的CISO告诉他们的CTO:“这正是我们雇佣这些人的原因。”

Melissa: 太好了! 所以BHIS及时发现了它。

Hayden: 谢天谢地,是的。 这是活跃的命令与控制(根据那篇新闻报道,可能与Conti的一个分支有关)。我们尚未观察到横向移动到其他设备,而那本是他们在进行大规模勒索软件攻击之前的下一步。

谈谈您是如何加入BHIS的。

Melissa: 那么,您是如何进入网络安全领域并最终来到BHIS的?

Hayden: 最初,我想成为一名游戏开发者,但后来意识到我讨厌编程。所以转向了网络安全,获得了里根大学的学位,并从GRC(治理、风险与合规)领域的实习开始。后来,我在一家造船厂实习,并在他们的SOC工作。我在那里成为一名全职分析师,待了大约四年。两位前同事Hal和Troy去了Black Hills。他们中的一个开玩笑说我应该申请一下,于是我就申请了。现在我已经在这里将近三年了。

Melissa: 听起来非常合适。

Hayden: 确实如此。我们总是在改进,总是在协作尤其是与我们的红队合作。攻防之间的这种来回交锋是这里工作最酷的事情之一。

跟Hayden本人学习安全运营的基础知识,参加他的Antisyphon课程吧!

安全运营基础 一门16小时的课程,提供现场/虚拟授课和点播学习!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次