NSA：運營SOC的5大原則（含解讀）

1）建立可防御的邊界（Establish a defendable perimeter）DOD經過多年的JIE（聯合信息環境）建設，連接互聯網的出口實現了大幅度的縮減，99%的進出Internet的流量都實現了僅通過很少的幾個網關來路由。如此一來，網絡邊界的可防御性得到了極大地提升，一方面極大降低了對手入|侵網絡的攻|擊面，另一方面還可以專心在這幾個出口集中進行威脅監測。此外，可防御的邊界還意味著要綜合使用基于已知特征指標的、啟發式的和行為的分析方法，并將其運用到基于主機（端點）的和基于網絡的平臺上去，從而實時觀測和干預網絡活動。【解讀】結合筆者自身的經驗，筆者認為對于防御而言，定邊界的確是一項很重要的前置性工作，不論這個邊界是物理還是虛擬的，是基于實體的還是基于身份的，是單層的，還是多層的，邊界可以虛擬化，但不能模糊化。此外，可防御的邊界還意味著盡量可控的攻|擊面，文中提及的是最基本（但不簡單）的對于大型企業而言的互聯網出口的歸口。而這也是為什么美國聯邦政府在實施愛因斯坦2之前先花了大量力氣去做TIC（可信互聯網接入）的工作的原因。對于DODIN也是類似，通過JIE的單一安全架構設計，在互聯網邊界大幅減少互聯網出口的數量和類型，并對所有戰區連入網絡的邊界進行的一體化網絡安全設計（部署JRSS）。
2）確保整個網絡的可見性（Ensure visibility across the network）對網絡流量的可見性和持續監測必須貫穿網絡的所有層級，包括網關、中間節點和端點。如果在網絡中觸發了規則告警，分析師必須能夠精確定位并隔離產生告警活動的實際端點主機。這個過程必須在幾分鐘而不是幾個小時內產生效果。
此外，隨著越來越多的流量被加密傳輸，SOC必須對此構建一套解決方案，以確保能夠看見混入合法網絡行為中的復雜威脅。【解讀】我們說態勢感知，其實很基本的一個能力就是看見（Visibility）。這個幾年前國內就炒作過一輪了，現在反倒講的少了，但實際上，網絡安全對于看見的追求并未衰減。進一步地，什么是看見？從對象來說，不僅要看到流量和日志，更重要的是看到各種實體，尤其是網絡實體和端點實體，并要能夠將這些觀測數據整合起來。從內容來說，就是看到網絡中的各種實體的運行狀態，實體之間行為交互，區分出正常和異常的實體狀態及其行為，能夠識別出攻|擊入|侵和違規，并刻畫出它們發展變化的過程（例如攻|擊鏈）。從目標來說，看見不是目標，發現問題不是目標，看見只是手段，如何快速的響應和處置才是目標。在這個層面上，其實也擴展了“看見”的外延，即看見不僅是幫助運維人員發現問題，還包括協助響應者快速的處置問題。
3）強化最佳實踐（Harden to best practices）安全事件通常是由于網絡中更新不及時或者不合規的軟硬件的脆弱性導致的。此外，當一個漏洞利用被披露或者一個補丁發布后，NCTOC會在24小時之內掃描整個DODIN（DOD信息網絡），識別惡意行為體潛在的攻|擊目標（未打補丁的服務器）。
可以說，及時進行（補丁）更新依然是NCTOC大力提倡的最佳防御實踐之一，以此可以降低脆弱性的暴露面，并最大化軟件的可靠性和保護能力。【解讀】這里所指的最佳實踐核心就是針對脆弱性管理、漏洞管理、補丁管理的實踐。這個問題其實是知易行難。NSA說的沒錯，但更需要指導的是如何做到。其實，我們看愛因斯坦計劃，前兩年，它們在講述建設成果的時候，主要的一個成果就是對于漏洞和漏洞利用的情報預警、共享，快速資產掃描和缺陷資產定位，以及打補丁的時間督查。想一想，花了幾十億美元的系統，實現了這個，值得還是不值得？做好漏洞管理難還是不難？
4）使用全面的威脅情報和機器學習（Use comprehensive threat intelligence and machine learning）在利用威脅情報前，建議先針對自身網絡環境對威脅情報源進行定制。譬如DODIN中的網絡威脅活動與醫療單位的可能有很大不同。SOC應該了解現有的防御性架構，判斷哪些資產對敵方是有價值的，并對威脅情報訂閱源進行相應地裁剪。
此外，面對海量的威脅情報和網絡活動告警信息的時候，SOC應該運用數據科學和機器學習的方法，將這些海量信息提煉為可行動的結果（Actionable Results）。安全團隊應該既能夠對現存的告警進行響應，還能夠對網絡中過去未能檢測到的威脅活動實施主動獵捕。【解讀】這點比較好理解，國內都談及的很多了。對于情報不必再求全，而要求準求精，注重有效性；對于AI/ML，已經作為一種技術方法融入到了各種安全設備和系統之中。
5）營造求知的文化（Create a culture of curiosity）單純基于安全事件工單關閉的速度來衡量網絡安全可能存在誤導，使得響應者更關注于盡快處置告警，而不是去盡量完整地掌握攻|擊活動本身。在采取了一個新對策后，如何預測敵對方可能的反應，對于我方響應者而言是一個挑戰。因為持久化的敵對方會繼續探測進入其感興趣的網絡的入口，并不會因為一次攻|擊受阻就放棄。因此，SOC應始終努力采取先發制人的防御性行動，在他們的團隊中注入創新性思維，找出敵對方各種新的技戰術。
【解讀】所謂求知，也可以理解為好奇心。安全分析師只有保持好奇心，具有強烈的求知欲，才能做好安全工作，才能獲得個人能力的進階。這種好奇心/求知欲，可以通過威脅捕獵（Threat Hunting）得到集中的體現。而求知欲也意味著個人精力的巨大長時間的投入，是很累的一個事情，要保持下去很難，若再考慮到回報的話，則更是難上加難。進一步，如何激發并保持一個團隊而非某個個人的求知欲，又是一個大課題。最后，歸根到底，這里談及了安全對抗的一個核心本質——人。
作為一個SOC領域的從業人士，以上5點原則，與大家共勉。