■Gily Netzer

一般來(lái)說(shuō)，企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)平均部署80種安全產(chǎn)品，這給SOC（安全運(yùn)營(yíng)中心）團(tuán)隊(duì)帶來(lái)其他安全隱患和巨大的管理挑戰(zhàn)。

從基礎(chǔ)架構(gòu)的安全控制中生成大量數(shù)據(jù)后，SOC團(tuán)隊(duì)通常依靠安全信息和事件管理（SIEM）來(lái)聚合數(shù)據(jù)并提供對(duì)事件和安全警報(bào)的洞察力。

同樣，借助安全編排與自動(dòng)化響應(yīng)（Security Orchestration,Automation and Response，簡(jiǎn)稱SOAR）平臺(tái)可以實(shí)現(xiàn)這一結(jié)果并將其自動(dòng)化。

但是，企業(yè)需要實(shí)時(shí)確保它的安全性。這也正是為什么企業(yè)開(kāi)始將突破與攻擊模擬（BAS）與SOC相集成。

BAS與SIEM和SOAR解決方案的集成使得SOC團(tuán)隊(duì)能夠不斷評(píng)估其安全控制的有效性，并通過(guò)實(shí)時(shí)、準(zhǔn)確的指標(biāo)來(lái)改善企業(yè)的安全狀況。

與SIEM集成

BAS可以驗(yàn)證SIEM是否正在有效地接收事件和警報(bào)。企業(yè)可以：

·驗(yàn)證SIEM與基礎(chǔ)架構(gòu)中其他安全控件的集成。

·使用攻擊模擬分析中提供的取證工具（例如哈希值、域名、主機(jī) artifacts等）來(lái)完善SIEM規(guī)則。

·評(píng)估預(yù)防性控制措施的有效性，例如EPP、Web網(wǎng)關(guān)、電子郵件網(wǎng)關(guān)、防火墻和IPS。

·評(píng)估基于行為的檢測(cè)控件（例如EDR、EUBA、欺騙攻擊和蜜罐）的有效性。

最佳的BAS解決方案是能夠提供有關(guān)各種控件的能力，以檢測(cè)可疑活動(dòng)的具體細(xì)節(jié)。SOC團(tuán)隊(duì)可以啟動(dòng)即時(shí)威脅情報(bào)評(píng)估，以模擬發(fā)現(xiàn)的最新威脅?？梢詫?lái)自橫向移動(dòng)、數(shù)據(jù)滲透和其他攻擊向量模擬的數(shù)據(jù)提取到SIEM中，以進(jìn)行分析、告警和補(bǔ)救。

與SOAR集成

BAS可以以天或小時(shí)來(lái)連續(xù)運(yùn)行，并將結(jié)果置入SOAR中。安全人員可以直接從SOAR儀表板確定修復(fù)的優(yōu)先級(jí)并采取糾正措施。使用BAS生成的數(shù)據(jù)可以：

·完善SOAR事件響應(yīng)規(guī)范。

·評(píng)估違規(guī)行為之后控制的有效性。

·確定監(jiān)測(cè)和響應(yīng)工作流程的有效性。

·根據(jù)啟發(fā)式Cyber Exposure分?jǐn)?shù)優(yōu)先制定修復(fù)措施。

與GRC系統(tǒng)集成

除了合規(guī)風(fēng)險(xiǎn)，企業(yè)還需要管理和報(bào)告與數(shù)字化轉(zhuǎn)型工作和供應(yīng)鏈相關(guān)的風(fēng)險(xiǎn)。當(dāng)BAS與諸如RSA Archer等的治理、風(fēng)險(xiǎn)和合規(guī)（Governance,Risk,and Compliance，GRC）工具集成在一起時(shí)，組織將獲得更加詳細(xì)的數(shù)據(jù)，可實(shí)現(xiàn)：

·主動(dòng)識(shí)別并避免IT配置被篡改，軟件更新和新技術(shù)部署的潛在不利影響。

·在特定的時(shí)間點(diǎn)和一段時(shí)間內(nèi)衡量控制有效性。

·通過(guò)不斷地保護(hù)電子郵件、Web網(wǎng)關(guān)及端點(diǎn)的安全控制來(lái)降低供應(yīng)鏈風(fēng)險(xiǎn)。

啟動(dòng)漏洞管理工具

BAS數(shù)據(jù)增強(qiáng)了漏洞掃描的能力，并結(jié)合攻擊模擬結(jié)果，使SOC團(tuán)隊(duì)可以檢測(cè)常見(jiàn)漏洞和報(bào)告CVE數(shù)據(jù)。團(tuán)隊(duì)可以根據(jù)各種參數(shù)（例如資產(chǎn)類型、用戶權(quán)限和關(guān)鍵數(shù)字資產(chǎn)）確定優(yōu)先級(jí)并加快修復(fù)速度。

與EDR工具集成

BAS可使團(tuán)隊(duì)能夠驗(yàn)證EDR解決方案是否有效地檢測(cè)了IoC和最新模擬威脅的攻擊技術(shù)。團(tuán)隊(duì)可以在其端點(diǎn)上模擬特定的威脅行為，并驗(yàn)證響應(yīng)工具是否按預(yù)期工作。

與API集成

通過(guò)API集成的BAS還可使SOC團(tuán)隊(duì)能夠從模擬攻擊（包括IoC、TTP、有效負(fù)載名稱、緩解措施及其他數(shù)據(jù)）中檢索所有評(píng)估結(jié)果，并將其轉(zhuǎn)移到自己的環(huán)境中。這將給他們帶來(lái)：

·即時(shí)的洞察力：BAS數(shù)據(jù)始終可與其他SOC工具結(jié)合使用。

·最新的威脅情報(bào)：詳細(xì)的攻擊者TTP（Tactics，Techniques，Procedures）和每日威脅數(shù)據(jù)，可為SOC團(tuán)隊(duì)提供最新的洞察力，而無(wú)需專家團(tuán)隊(duì)。

·統(tǒng)一的可見(jiàn)性：將BAS結(jié)果與SOC工具相結(jié)合，可以最大程度地提高團(tuán)隊(duì)的決策和優(yōu)先級(jí)能力。

·修復(fù)指南：團(tuán)隊(duì)會(huì)收到針對(duì)MITER ATT＆C框架的特定指導(dǎo)，以加快修復(fù)速度。

·全面覆蓋：BAS可覆蓋所有攻擊向量和整個(gè)攻擊鏈。

·持續(xù)的自動(dòng)化測(cè)試：SOC團(tuán)隊(duì)可以不斷進(jìn)行控制，并立即發(fā)現(xiàn)基礎(chǔ)架構(gòu)的變化或安全漏洞，在其被利用之前及時(shí)阻斷。

·控制優(yōu)化：獲得對(duì)整個(gè)攻擊鏈的一致評(píng)估，確保修復(fù)工作帶來(lái)預(yù)期的效果。

只需單擊幾下，SOC團(tuán)隊(duì)就可以發(fā)起數(shù)千次攻擊模擬，并確切地了解攻擊所處的位置以及如何防范它們。如今，發(fā)現(xiàn)每天暴露出的新威脅，防御先進(jìn)而隱蔽的攻擊技術(shù)，防止IT系統(tǒng)持續(xù)變化帶來(lái)的不利影響，并確保安全控制最大限度地防范國(guó)家級(jí)的攻擊行為和復(fù)雜的供應(yīng)鏈攻擊，這些都已成為可能。