网络安全专业领域 SOC 相关岗位和资源

sybersecurity 应被拼写为一个单词,意为采取响应措施保护计算机或计算机系统免受未经授权的访问或攻击。 sans.org/security-resources/glossary-of-terms 网络安全术语词汇表 MSSP 托管的安全服务提供商,使用外包方案,外包人员通常并不涉及深入的基础设施

SOC 通常需要全天候运营,这意味着需要在非正常工作日和节假日进行工作。国际化公司的做法是在跨越多个时区的不同地理位置建立三个 SOC ,例如 美国、新加坡、欧洲。SOC 的需求遵循合规与监管要求并随之而增加,SOC 在企业中是一个昂贵的成本中心,除非 SOC 是公司产品的一部分。SOC 负责监控、调查和补救安全事件。

  • 分析师

    • 威胁情报团队 TI
      • 非初级岗位,需要具备全面的网络安全技术知识、良好的书面和口头沟通能力、精湛的演讲技巧、丰富的网络安全威胁技术知识,并且热爱阅读大量信息且与分享信息的人建立关系。
      • 专业的情报服务通常需要付费,OSINT(开放源情报)通常能够提供还不错的情报。
      • 研究新威胁以增强检测能力,确定他们是否危险,并向管理层和SOC提供详细信息。
    • 数字取证和事件响应团队 DF&IR
      • SOC 常见的转交点,SOC 进行初步分析无法处理则转交至此,并对长期持续的事件进行调查。
      • 非初级岗位,大多数组织中TI与DFIR协同
    • 威胁狩猎团队
      • 高级安全职能部门,主动发现或阻止由隐秘攻击者执行的通常难以被自动防御系统探测的活动。
      • 熟悉使用 SIEM 工具及其查询语言,熟悉终端工具、漏扫和云安全代理等工具。
      • ─ 主动搜索隐藏威胁├── 高级攻击行为分析├── 猜测并验证潜在攻击路径└── 提出新的检测规则(EDR/SIEM)
    • 红队
      • 渗透测试分析师
        • 并非每个公司都有这个团队,该团队外包更具成本效益。
        • 黑盒、白盒和灰盒测试。
        • 紫队测试,用于评估SOC和DFIR团队(蓝队)的有效性。蓝+红=紫。

  • 安全工程团队

    • 负责部署、管理和维护企业的安全工具和设备。
      • 应用安全工程师——实施控制措施,例如认证、加密授权、ACL、扫描和测试。
      • 网络安全工程师——监控网络、识别脆弱性并指定解决方案。
      • 云安全工程师——配置网络安全、构建应用程序、识别和解决漏洞,维护云基础设施。
      • SIEM 工程师——与利益相关方合作、了解业务需求、执行有效且高效的数据利用策略,与SOC协作。SIEM 推荐 Anvilogic、Hunters。
      • 检测工程师——设计、构建和优化系统流程,检测恶意活动或未授权行为。
      • 漏洞管理工程师——扫描并管理漏洞。与IT团队协作修补漏洞。

  • 架构师、网络安全架构团队

    • 网络安全架构师的一个目标可能是制定项目的安全和日志计划,以确保安全性和成本节约之间能够得到合理平衡。
    • 该职位通常需要对整个网络安全领域有广泛的了解并精通所在公司的特定IT实践。
    • 专注于在实施新技术时执行最佳安全实践与合规控制。

大多数公司都没有安全运营团队、安全工程团队和安全架构团队。但无论这些团队是属于SOC还是外包,这些角色在每个公司都会存在。

  • 内部团队

    • SOC 经理
    • SOC 总监(不是风险管理总监)
    • CISO
    • 风险管理团队
      • 重点关注最坏的情况以及这种情况发生的概率,评估对组织产生的影响。
    • 治理与合规团队
      • 合规的目的是确保以统一的方式遵循适当的网络安全实践。
    • 隐私和法律团队
    • 反欺诈团队
      • 调查数据泄露事件,以确定数据是否泄露、出售或用于恶意目的。

  • 外部团队

    • 政府机构
      • 执法机构是其中最常遇到的政府实体,与法律和隐私团队一样,SOC 很可能会向调查机构提供数据泄露或内部威胁的证据。
      • 军事和情报机构。与政府有业务往来的公司,。大多数情况下,与政府合作的公司可以共享威胁情报
      • 监管机构。为私营经济的特定活动领域设定基准标准并执行这些标准。
      • 非政府国际组织。非政府国际组织的标准和监管责任由采纳这些标准的国家主权代为执行。
    • 审计团队
    • 供应商

找工作可能会涉及到的资源: 网络安全社区

  • 2600.org
  • DEF CON
  • BSides
  • OWASP 网络安全比赛
  • TryHackMe
  • Hack the box
  • lets defend 创建博客
  • medium

必备技能

网络基础

  • TCP/IP 模型,网络接口层、网络层、传输层、应用层
  • OSI 模型,物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

数据封装和解封

IPv4&IPv6

区别

RFC 1918 地址空间

NAT 网络地址转换

端口和TCPUDP

CIA 三元组

防火墙

确保只有需要访问网络资源的人 才能获得访问权限。通过ACL列表实现。公网与私网之间的边界设备。随着云计算的出现,这个概念已不再流行但依然重要。

最小权限和职责分离

任何人不应拥有超出其工作所需的最低限度的访问权限。 职责分离是将重要的职责分开,减少欺诈的机会。

加密

加密是改变数据形式使其不可读,哈希是将一组数据转换为唯一指纹,编码只是一种算法而不使用密钥

终端安全

Verizon发布的数据泄露调查报告表明74%的数据安全事件通过终端攻破。

Windows

使用本地管理员权限来日常使用终端会给恶意代码提取提供方便。 系统补丁未更新、弱密码和开放公网的远程访问服务易导致其收到安全威胁。

linux

有不少发行版默认安装Python环境,同时也建议学习一下这个工具。

macos

MacOS是专有的Unix版本。用户权限管理类似linux,root权限被默认禁用。

其他终端

无论如何,系统的安全性都取决于设备上安装的应用程序,比如Windows自带很多服务,这自然使其具备更多天然的弱点。linux和macos对于权限和第三方应用的管理使其稍微安全一点。IoT设备面临的最大风险是应用程序未加密的相关漏洞。

SOC 分析师

SOC 需要注意的工具、概念、常见的安全定义和零信任基础设施。

SIEM 安全信息与事件管理

这是SOC的核心,每个设备上的操作都会产生日志。没有日志就没有安全分析师。没有日志,也就没有安全。理想情况下,所有日志都会被集中收集,便于统一观察和衡量。通常SIEM 就是分析师的单一控制面板,也就是SOC 可以操作的唯一界面。

SIEM除了收集日志,还会对日志进行规范化的处理并展示。通常SIME会通过供应商或用户创建的规则来从海量日志中挑出可疑的内容并告警。

下一代SIEM平台提供用户实体和行为分析功能,它会尝试收集所有用户的日志并建立一个正常行为的基准线,当用户行为异常超过基线后,系统便会告警。同时,新一代SIEM还在向案件管理工具转变,当有多个相关告警时,平台使用一种方法,将告警结合在一起进行跟踪调查。安全编排和自动化响应也是SIEM平台发展的方向。

防火墙

分析师可能会参与到IP的阻断,而这大多数情况下是通过防火墙完成的。

IDS/IPS

IPS会在事件发生时采取行动,而IDS只是检测事件。 IPS的本质功能是 阻断攻击,因此必须在流量路径上,即Inline(串联)部署。 IPS(入侵防御系统)理论上可以以旁路模式部署,但那时它不再是 IPS,而是以 IDS 模式工作。

沙箱工具

沙箱工具可以使你在受保护的环境中执行程序或打开网页,通常在这个环境中分析代码是否有恶意行为是安全可控的。

术语区分

安全日志、安全事件、安全事故、安全泄露。

安全日志

安全计划的基础是日志。SOC希望捕获的日志包括网络流量日志、Windows事件日志、unix系统日志和防火墙日志等。

安全事件

安全事件是安全监控产生的结果。只有安全事件升级为安全事故时才需要进一步的事件响应流程和处理。

安全事故

安全事故不常见,当怀疑敏感数据丢失时就会宣布发生事故,并启动事件响应流程。 尚未升级的安全事件和漏洞不能算作安全事故。

安全泄露

安全泄露很少见,确认发生后通常需要由CISO宣布为安全泄露。大多数情况下泄露需要向客户甚至公众发出泄露通知,并且处理过程需要格外谨慎。

概念

事件响应计划 IRP

有时安全事件会超过SOC的职责范围,交由IRT接管。 NIST 定义了一个包含四个阶段的标准:

  • 准备;
    • 组织制定应对安全泄露的基础策略,为事件响应团队及整个组织定义培训和意识提升计划。主动的应对意味着在事故发生时可以最大限度地减少泄露对运营、声誉和财务的影响。
  • 检测和分析;
    • 该阶段是 SOC 的重点工作。
  • 遏制、根除和恢复;
    • 宣布发生安全事件代表着该阶段的开始。
    • 该阶段需要准确识别攻击者的入侵方法以及入侵行为,据此制定方案来遏制。根除攻击者获得的访问权限。
    • 最后制定并执行恢复计划,识别入侵方法和手段并封堵漏洞。恢复所有受影响的工作到事故发生前的正常运行状态。
  • 事故后活动。
    • 该阶段对响应过程进行分析,以识别任何可能的改进机会。
    • 可能包括为高层领导或事故相关方制定报告。
    • 可能会导致事件响应计划的更新、加强安全措施或通过工具或机制填补之前未发现的安全漏洞。
    • 可能包含知识分享。例如通过美国国防部主办的国防工业基地门户分享事故报告。

MITRE ATT&CK 框架

该框架是由 MITRE 公司维护的 TTP(战术、技术和程序) 知识库

  • 战术(Tactic)是指攻击过程中对手试图实现的高级目标或目的。
    • 示例包括初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、数据渗出和影响。
  • 技术(Technique)是指用于实现战术的具体方法或途径。
    • 示例包括 命令行界面、脚本编写、远程服务漏洞利用等技术。
  • 程序(Procedure)是指对手在现实世界中实施技术的具体示例。
    • Procedure Examples 在每个技术的描述中。
  • 缓解(Mitigation)是技术中附带的建议和最佳实践,以防御或减少特定技术造成的影响。
  • 团体(Group)每种技术都由团体研究人员确定对抗团体或行为威胁者,以及他们使用的TTP相关信息。
  • 软件(Software)包含特定对手活动相关的恶意软件、攻击或程序。

网络杀伤链

网络杀伤链是一个概念,描述了从攻击者“入侵过程”视角的 攻击生命周期模型。 杀伤链的每一阶段,都可以对应 ATT&CK 中的战术与技术。安全管理中,两者通常配合使用 流程(CKC) × 技术清单(ATT&CK) 的组合。

CKC 阶段 含义 可映射的 ATT&CK 战术
侦察 Reconnaissance 攻击者收集目标信息 Reconnaissance、Resource Development
武器化 Weaponization 攻击者创建或获取一种武器(恶意程序或恶意代码),旨在利用特定漏洞 Attackers’ tooling (多个技战术的组合)
投送 Delivery 攻击者将武器投送至目标环境 Initial Access
利用 Exploitation 武器被执行后利用目标系统漏洞实现恶意目标 Execution、Privilege Escalation
安装 Installation 攻击者通过安装其他工具后门或恶意软件从而在目标环境中建立持久化 Persistence
命令和控制 C2 攻击者与受感染系统建立通信信道,以远程控制与管理攻击 Command and Control
目标行动 Actions on Objectives 攻击者达成了最终目标,可能包括数据窃取、系统破坏等其他恶意活动 Exfiltration、Impact
在蓝队、威胁狩猎和安全管理中,两者通常这样配合:
  1. 用杀伤链描述攻击过程(高层视角)
  2. 用 ATT&CK 细化每个阶段具体可能的技术与检测点(细节视角)
  3. 再根据 ATT&CK 技术构建 SOC 检测规则、EDR 告警、SIEM 用例

OWASP TOP10

OWASP(Open Web Application Security Project,开放式 Web 应用安全项目)
是一个全球性的非营利组织,致力于提升软件(尤其是 Web 应用程序)的安全性。OWASP 的核心特点是:
开放、透明、社区驱动、免费提供安全知识与工具

OWASP 每隔数年发布一次 Web 应用最重要的十大安全风险 ,即OWASP TOP10。 对于这些知识的学习可以使用实践课程:tryhackme.com/room/owasptop10

零信任

零信任是一种安全策略或安全模型。在这种策略中任何用户、设备、应用或流量,无论来源于内网还是外网,都不被默认信任,在允许访问敏感数据前,零信任策略会持续检查和验证用户身份、设备健康状况以及场景背景等因素。

零信任的核心理念

可总结为一句话:

永不信任,持续验证(Never trust, Always verify)。

核心思想包括:

  1. 身份为中心(Identity-centric)
    在允许人员、设备或系统访问敏感数据前,持续检查和验证用户身份、设备健康状况以及场景背景等因素。(验证用户身份、设备身份、服务身份。)
  2. 最小权限访问(Least Privilege)
    用户只能访问其当前业务所需的最少资源。
  3. 微隔离 通过微分段减少横向移动。将网络划分为更小的部分并控制他们之间的通信。
  4. 动态与持续验证(Continuous Authentication)
    不一次性放行,实时检查:账号、设备状态、地理位置、行为风险等。
  5. 基于资源的访问控制(Microsegmentation) 上下文访问控制 按资源、业务、应用微分段,避免横向移动。根据上下文决定谁可以获得访问权限,例如他们所处的位置、时间以及他们想要访问的数据的重要性。
  6. 加密(Encryption) 确保信息受到加密保护,使任何不应该看到它的人都无法读取它。
  7. 动态策略执行 始终准备根据发生的情况调整安全规则。

常见技术手段包括:

  • 强身份认证(MFA、多因素认证)
  • 单点登录 SSO & 身份联合
  • 微分段(Micro-segmentation)
  • 基于身份的访问控制(IAM/ICAM)
  • ZTA 网关 / Zero Trust Proxy
  • 设备安全评估(MDM/EDR)
  • 行为分析(UEBA)

云端SOC

有效利用云是从云计算获取竞争优势的关键。仅将应用程序迁移到云端并不会自动节省成本,甚至可能花费更多的成本。使用云能否节省成本取决于你对其使用方式的了解。管理仍是云客户的责任,云服务商提供了方法但并不会为云客户具体管理使用情况。

云服务模型主要有三种类型

云部署模型主要有五种类型,即客户如何设置和使用这些服务。

云计算的风险

认识到这些风险对于制定有效的缓解策略以保护云端数据至关重要。

  1. 云安全专业知识受限 云计算的独特性要求安全人员具备专门的知识。
  2. 配置错误 数据泄露通常源于错误的云配置,修改云配置非常容易,这意味着即使是微小的错误要可能造成巨大的损失。
  3. 攻击面增加 公有云的外部可访问性超出了传统的安全边界,吸引了潜在攻击者。例如云存储的安全措施设置不当或无意开放访问点、将安全凭证存储在云上之类的漏洞。
  4. 对云身份的安全关注不足 有效管理云用户身份需要格外谨慎。通常采用单点登录的方式能够简化复杂程度。
  5. 缺乏标准和可视化 在多云架构下难以应用统一的安全措施。由于不同云平台提供不同的安全工具,手动维护一致的安全标准具有挑战性。在PaaS和SaaS下,云操作的可视化比IaaS更有限。
  6. 数据泄露风险 云端的便利性使数据泄露的便利性也增加了,无意的操作可能产生意料之外的后果。
  7. 合规和隐私问题 合规责任由云租户和云提供商共同承担,仓促上云可能产生合规风险。
  8. 数据主权和存储问题 数据驻留法规是特定于国家的,使用云服务可能会模糊数据的具体存储位置,带来合规风险。
  9. 特定于云的事件响应 利用自动化和云原生控制对于在云环境中实现有效的事件管理至关重要。 在安全领域,数据往往是最宝贵的资产,而云的固有设计使数据访问和共享更加便捷。而云环境中使用的正式事件响应协议往往不够完善。【云事件响应协议不够完善,是因为组织沿用了传统本地(on-premises)安全流程(Incident Response, IR),但云环境在架构、责任分界、日志体系、隔离方法、取证方式等方面完全不同,导致原有流程无法有效应对云安全事件。】确保对数据位置的了解以及访问权限的控制是云计算安全中的首要任务。

%%
1.云中大部分底层资源(硬件、网络、虚拟化层)由云厂商负责。
组织只负责:

  • 应用安全
  • 身份和权限
  • 数据安全
  • 配置错误 传统事件响应流程没有定义如何与云服务商沟通,需要重新进行责任划分 2.云服务商日志式样不同,有些还需要手动开启
  • CloudTrail
  • VPC Flow Logs
  • Object Access Logs 3.本地 IR 流程通常要求:
  • 拔网线
  • 隔离交换机端口
  • 关机做镜像 而在云上应该使用:
  • 安全组隔离
  • 暂停实例
  • 对卷做快照 4.云环境取证与本地SOP存在很大差异 %%

云安全工具

  1. 单点登录 多云架构中,导航用户身份管理变得尤其复杂。SSO简化了这一流程,使得用户能够使用一组凭证访问各种应用程序。 强密码和MFA措施能够增强SSO的安全性 权限身份对应到角色以便审核管理。
  2. 云安全态势管理(CSPM) 错误配置在云环境中构成了主要风险。CSPM工具在识别云基础设施漏洞方面起着关键作用,揭示了风险状况及是否符合推荐实践。主要包括检测和修复云配置问题,详细说明云资源,通过仪表盘实现云相关风险的全面概览。 实施需要足够的理解和成熟度;重点是降低风险而不是实施CSPM;优化告警;与工单系统集成。
  3. 云访问安全代理(CASB)对于降低云中数据泄露风险至关重要。作为云服务的统一控制机制,实施并执行数据安全、用户获得策略和资源发现。该设施位于用户和云应用程序之间。 主要功能 1. 检查数据流量控制影子IT 2. 防止未经授权的数据上传/下载来降低数据泄露风险 3. 将本地DLP扩展到云端 4. 监控用户行为并实施零信任策略
  4. 云工作负载保护平台 致力于保护基于云的工作负载,例如虚拟机、容器、无服务器功能和API,与CSPM相比运行级别更高。提供包括强化和配置评估、对混合和多云环境的支持以及恶意软件扫描。提供实时威胁检测与响应。
  5. 云基础设施授权管理(CIEM)提供监控云平台用户权限的功能。管理云环境的访问,以身份为核心,坚持最小权限原则。能够识别用户权限中的违规行为,遏制过多权限的扩散,并提供用于撤销不必要访问权限的解决方案。CIEM通常需要支持多云环境,这也是它存在的意义,管理多云之间的访问控制,并简化用户配置,通过持续监控和调整来增强安全态势。

云安全认证

平台无关认证

  1. CCSK(云安全知识认证),作为起点可以学习相关资源,专门提到CCSK的职位很少。
  2. CCSP(认证云安全专家),由(ISC)²提供,云安全找CCSP,一般安全找CISSP。

特定平台认证

  1. AWS 认证安全专家,业内享有很高声望。
  2. Azurev 助理安全工程师认证。
  3. Google 云安全工程师认证。

SOC 自动化(SAO/SOAR)

在大量事件中寻找趋势是SOC自动化的价值所在。其目标是减少平均检测时间和平均响应时间。

SOC 成熟度

自动化的错误配置可能带来灾难性的后果,很少会有企业希望全流程的自动化。在组织对所提供的数据有很高的自信之前,自动化过程中应该增加诸如人工交互和审批的制衡措施。 有很多方法可以用来评估SOC的成熟度,除了行业标准的框架,你还可以自己编写。

成熟阶段示例(流程包含多个任务)

  1. 确定自动化要求的初始阶段。没有自动化动作。
  2. 部分动作已自动化,部分动作未完全自动化。
  3. 大多数动作已自动化,部分流程已自动化。
  4. 结束状态。所有动作和流程均已自动化。

如何开始自动化

SOC 中熟悉其流程和程序的分析师花上一些时间去分析他们每天所作的工作是对自动化开始阶段最有益的事情。然后根据任务需花费的时间和复杂度进行分类。从小到大使其自动化。处理用例时,寻找微小改变造成可见影响的动作,分析并细分它。 在执行自动化操作前先定义它;不要编写复杂冗长的脚本,如果需要可以使用父脚本来调用多个子脚本。 例如,在发生关键事件时呼叫值班分析师:

  1. 首先定义会导致分析师被呼叫的事件类型
  2. 研究如何收集值班人员及呼叫方式。比如使用beautifulsoup这样的python插件编写自定义的python代码。脚本抓取内部网页并解析要呼叫的电子邮件地址,向该分析师发送带有关键事件上下文的告警。
  3. 脚本监控邮箱内是否有该页面的已读回执,如果1小时内没有则向值班负责人发送相同的呼叫。

技巧和经验

  1. 使用ChatGPT协助你完成代码审计、文件路径查询、编写脚本、重写等工作。有证据表明现有LLM AI能够实现钓鱼和武器化相关工作。作为翻译,可以帮助你去攥写报告或与他人沟通。另外,查询一些大众化产品中固定的帮助文档,它提供了很高的效率,例如询问它Windows 事件ID的具体对应项。
  2. 方法论。
    1. 处理安全事件的时间分配
      1. 5%用于识别和了解触发告警的原因
      2. 40%用于收集和记录与告警相关的所有证据
      3. 40%用于研究证据,检查指标的信誉、寻找历史相关性,以及判断这是不是恶意行为。
      4. 10%用于根据安全分析得出结论,并采取任何必要的紧急措施。
      5. 5%用于确定后续步骤(如果有)
  3. 面对告警在互联网上搜索、查阅供应商和内部文档是很有帮助的。
  4. 构建时间线本质上是查看告警被触发前后的事情,在后续分析中判断告警是否因为恶意活动而触发。时间线通常24小时是比较合适的。
    1. 记录的信息首要是用户的身份,包含用户名、电子邮件、上次登录信息以及他们的用户角色和权限等相关详细信息
    2. 然后是记录设备名称、设备IP地址以及你拥有的任何有关这个资产的信息。比如这个设备是用户工作站还是服务器,用于开发、生产还是测试?
    3. 然后包含与告警相关的文件的任何信息,比如哈希值、文件大小和签名者。
    4. 接下来,粘贴于告警事件相关的日志,用于参考。包括终端日志、SIEM日志、防火墙/网络日志、IDS/IPS日志,以及在后续分析中任何可能有帮助的记录。
    5. 思考告警活动是否在账户所有者的工作范围之内,以及内部是否有工具可以获得与这个活动相关的信息。例如,通过OA可以查询到告警期间有维护作业的工单。
    6. 接下来记录该账户最近执行的任何操作。比如,他们是否更改过密码、账户权限?是否有异常大量的网络流量?是否有异常的电子邮件?
    7. 在证据收集的一步步中,最后不要阶段性的停下来,一管窥豹。在进行完善的收集后通常能得出正确的结论
    8. 最后,将你的分析传阅给其他人审阅。如果不能得出分析结论,那么可以回过头再去添加支持性证据。
  5. 分析常用的工具
    1. virustotal
    2. talos intelligence
    3. ipvoid
    4. urlvoid
    5. reverse.it、joe sandbox、any.run、hybrid analysis
    6. domaintools
    7. threat crowd
    8. tor exit node list
    9. ibm x-force exchange
    10. internet archive
    11. urlscan.io——快速信誉检查和快照,你不知道网站是否在获取到几个凭证后就快速关闭,所以需要使用快照。
    12. wheregoes——查看网站跳转次数,关注是否跳转到非法的仿冒域名
    13. reverse ip
    14. google 在google之前不要对IoC做出任何分析,显然这样更快。而且幸运的话能找到研究人员在博客上发表的分析。
  6. 如果你对网络安全事件没有什么实际的感触,那么可以部署一个蜜罐到公有云上,从中获得数据并进行分析。

安全分析模板

见图片。