本发明专利技术公开了一种基于过程管控的SOC能力成熟度模型的方法,其特征在于,一种CTI驱动的能力成熟度模型,被用于评估安全服务提供商的成熟度,所述方法,还包括如下步骤:(1)问题定义,规定成熟度模型的目标领域和受众;(2)现有成熟度模型的比较;(3)确定发展战略;(4)迭代式的成熟度模型开发,所述模型开发包括如下四个子步骤:(Ⅰ)识别SOC服务的子集;(Ⅱ)识别共同特征;(Ⅲ)将所述特征分组到服务中;(Ⅳ)映射成CTI格式和SOC服务;(5)确定服务提供商的能力级别;(6)确定服务提供商能够提供的SOC服务;(7)确定服务提供商的成熟度级别。通过本发明专利技术,能够克服日常信息安全基本上由安全运营和事件响应能力的成熟度来定义、仅仅关注本企业内部信息,以及忽略CTI及其共享的缺陷。以及忽略CTI及其共享的缺陷。以及忽略CTI及其共享的缺陷。
【技术实现步骤摘要】
一种基于过程管控的SOC能力成熟度模型的方法
[0001]本专利技术涉及网络安全、SOC(Security operation center安全运营中心)、CTI(Cyber threat intelligence网络威胁情报)、成熟度模型(Maturity model)、过程管控和SOAR(Security orchestration Automation and response安全协调、自动化和响应)的
,尤其涉及到一种基于过程管控的SOC能力成熟度模型的方法。
技术介绍
[0002]尽管先进的网络管理与防御系统大量涌现,但在企业内部建立、评估和改进安全运营和事件响应能力仍然是一项重大挑战。这种情况伴随着老练的威胁行为者不断寻找毫无准备和不安全的企业。此外,网络犯罪经济正在将受害者的信息和漏洞货币化。因此,各个企业被迫采取适当的安全运营。由于不同的攻击者交换有关公开未知漏洞、攻击软件和成功策略的信息,这就呼唤着信息安全工作者应该采取相应的应对行动。
[0003]在对付网络攻击者时,共享网络威胁情报(Cyber Threat Intelligence CTI)已成为一项重要措施。协作和共享有关威胁、网络攻击和安全事件的情境化安全信息的好处是额外的外部洞察力和更快的基于情报驱动的响应。本质上,一个企业的安全事件是另一个企业的威胁情报。然而,使用CTI需要一个用结构化数据格式和框架实现的通用表示。因此,为了充分利用CTI格式的潜力,这些格式必须充分集成到企业流程和工具中。CTI被定义为可操作的威胁信息(例如,CTI工件),以及与个人(例如,安全专家)和提供安全服务的企业有关的综合概念。
[0004]SOC(Security Operations Centers安全运营中心)是桥接CTI与企业集成的关键要素。根据定义,SOC捆绑了企业安全角色、基本安全服务和工具。因此,一般来说,SOC负责CTI,但有时也存在企业CTI的专门的部门。CTI及其格式使SOC运作良好且有效。CTI格式主要与SOC服务交互,也为各种技术提供了基础,例如,SIEM(Security Information and Event Management安全信息和事件管理)系统、入侵检测和预防系统(Intrusion Detection and Prevention SystemsIDS/IPS)或威胁情报共享平台(Threat Intelligence Sharing PlatformsTISP)。
[0005]为了避免众所周知的大海捞针,SOC依赖于外部支持,这主要是通过一种更为数据驱动的方法来检测和响应安全事件/或事故来实现的。因此,现代企业中成熟的安全运营和事故响应能力依赖于通过CTI格式集成的数据源。目前的研究表明,需要与企业、技术和个人进行系统整合。
[0006]为了改进现有SOC,评估其当前状态并发现不足是关键目标。这些目标可以使用已有技术的CMM(Capability Maturity Model能力成熟度模型)来实现,然而,该模型适合确定的目的和范围。通常情况下,CMM结合了定义严格的学术开发方法和实际用例,模型旨在评估和提高企业的软件开发的能力。
[0007]威胁、网络攻击和安全事故涉及所有类型的组织/或企业。日常信息安全基本上由安全操作和事故响应能力的成熟度来定义。然而,事实证明,在不断变化的威胁形势下,仅
仅关注本企业的内部信息是不够的。CTI及其共享被认为是应对高级威胁所必需的,并强烈地影响安全能力。因此,研究和实现集成CTI和SOC的能力成熟度模型是十分必要的。
技术实现思路
[0008]为了解决上述技术问题,本专利技术提供了一种基于过程管控的SOC能力成熟度模型的方法,采用CTI驱动的方法,来评估安全服务提供商的服务等级,解决了日常信息安全基本上由安全运营和事故响应能力的成熟度来定义、仅仅关注本企业内部信息,以及忽略CTI及其共享的缺陷。
[0009]一种基于过程管控的SOC能力成熟度模型的方法,其特征在于,一种CTI驱动的能力成熟度模型,被用于评估安全服务提供商的成熟度,所述方法,还包括如下步骤:
[0010](1)问题定义,规定成熟度模型的目标领域和受众;
[0011](2)现有成熟度模型的比较;
[0012](3)确定发展战略;
[0013](4)迭代式的成熟度模型开发,所述模型开发包括如下四个子步骤:
[0014](Ⅰ)识别SOC服务的子集;
[0015](Ⅱ)识别共同特征;
[0016](Ⅲ)将所述特征分组到服务中;
[0017](Ⅳ)映射成CTI格式和SOC服务;
[0018](5)确定服务提供商的能力级别;
[0019](6)确定服务提供商能够提供的SOC服务;
[0020](7)确定服务提供商的成熟度级别。
[0021]进一步地,所述能力级别,包括如下等级:
[0022]0级:未定义;
[0023]1级:来源;
[0024]2级:质量;
[0025]3级:集成;
[0026]4级:级自动化;
[0027]5级:增强。
[0028]进一步地,所述SOC服务,包括漏洞管理;日志和事件管理;安全监控、分析和威胁检测;威胁搜寻、渗透测试和数字取证;安全事故管理和事故响应;网络威胁情报共享。
[0029]进一步地,所述成熟度级别,包括如下等级:
[0030]1级:初始
‑
日志和事件管理,安全监控、分析和威胁检测,以及漏洞管理达到了能力级的2级;
[0031]2级:核心
‑
安全事件管理,事故响应和网络威胁情报共享达到了能力级的2级,以前的所有服务都达到了能力级的3级;
[0032]3级:扩展
–
威胁搜寻、渗透测试和数字取证达到了能力级的2级,以前的所有服务都达到了能力级的3级;
[0033]4级:远景
–
所有SOC服务均达到了能力级的4级。
[0034]本专利技术的技术效果在于:
[0035]在本专利技术中,提供了一种基于过程管控的SOC能力成熟度模型的方法,其特征在于,一种CTI驱动的能力成熟度模型,被用于评估安全服务提供商的成熟度,所述方法,还包括如下步骤:(1)问题定义,规定成熟度模型的目标领域和受众;(2)现有成熟度模型的比较;(3)确定发展战略;(4)迭代式的成熟度模型开发,所述模型开发包括如下四个子步骤:(Ⅰ)识别SOC服务的子集;(Ⅱ)识别共同特征;(Ⅲ)将所述特征分组到服务中;(Ⅳ)映射成CTI格式和SOC服务;(5)确定服务提供商的能力级别;(6)确定服务提供商能够提供的SOC服务;(7)确定服务提供商的成熟度级别。通过本专利技术,能够克服日常信息安全基本上由安全运营和事件响应能力的成熟度来定义、仅仅关注本企业内部信息,以及忽略CTI及其共享的缺陷。
附图说明
[0036]图1是一种基本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于过程管控的SOC能力成熟度模型的方法,其特征在于,一种CTI驱动的能力成熟度模型,被用于评估安全服务提供商的成熟度,所述方法,还包括如下步骤:(1)问题定义,规定成熟度模型的目标领域和受众;(2)现有成熟度模型的比较;(3)确定发展战略;(4)迭代式的成熟度模型开发,所述模型开发包括如下四个子步骤:(Ⅰ)识别SOC服务的子集;(Ⅱ)识别共同特征;(Ⅲ)将所述特征分组到服务中;(Ⅳ)映射成CTI格式和SOC服务;(5)确定服务提供商的能力级别;(6)确定服务提供商能够提供的SOC服务;(7)确定服务提供商的成熟度级别。2.如权利要求1所述的一种基于过程管控的SOC能力成熟度模型的方法,其特征在于,所述能力级别,包括如下等级:0级:未定义;1级:来源;2级:质量;3级:集成;4级:级自动化;5级:增强。3.如权利要求1所述的一种基于过程管控...
【专利技术属性】
技术研发人员:凌飞,
申请(专利权)人:南京联成科技发展股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。