安全运营能力成熟度模型（SOMM）

安全运营中心（SOC）不管是只有两到三人的虚拟团队，还是配备了7X24小时的全天候运营团队，评估安全运营能力都将有助于提升安全威胁的检测时间（MTTD）和相应时间。

为此安全厂商LogRhythm开发了安全运营成熟度模型（SOMM），该模型阐述了如何测量安全运营的有效性，帮助企业了解并改进安全运营水平，最终提高对安全威胁的应对能力。

安全运营成熟度有五个级别，每个级别都建立在先前的基础上，通过改进技术和流程的能力，提供安全运营成熟度。随着成熟度的提高，可以提升安全运营的效率，获得更快的MTTR和MTTD，从本质上降低发生高影响安全事件的风险。

下图提供了随着成熟度提高MTTD/MTTR降低的示例：

安全成熟度模型从安全运营能力、组织特征、风险特征三个方面进行每个能力级别的描述，定义了每一能力级别应实现的关键技术和工作流程能力，以支持安全运营体系评估、规划与改进。

LEVEL 0初始级

LEVEL 0 是初始级，基本特征为：1）无安全运营能力；2）无适当的流程；3）被动流程。

▼▼安全运营能力

无

▼▼组织特征

预防导向（例如：防火墙、防病毒等）

基于技术与职能部门的孤岛日志；无集中日志可见性

威胁与失陷指标存在，它们不可见，同时没有进行威胁猎捕披露它们

没有正式的安全事件响应流程；依靠个人经验作出响应

▼▼风险特征

不合规

无法察觉所有内部威胁

无法察觉所有外部威胁

无法察觉高级持续性威胁（APT）

IP可能被窃取（如果对国家与网络犯罪有兴趣）

LEVEL 1 是最小合规级，基本特征为：1）最小安全运营能力；2）无正式安全事件响应流程；3）合规驱动资源投入。

LEVEL 1最小合规级

▼▼安全运营能力

按强制要求对日志（log）与事件（event）进行集中化管理

按强制要求以合规为中心进行服务器取证，比如文件完整性监控（FIM）与端点检测响应（EDR）

最小化合规强制要求监控与响应

▼▼组织特征

合规驱动资源投入或已经识别需要保护环境的特定领域

通过报告评审发现合规风险；管理违规流程可能存在，也可能不存在

提高受保护区域威胁的可见性；但缺乏人员和流程进行有效威胁评价及优先级排序

没有正式的安全事件响应流程；依靠个人经验作出响应

▼▼风险特征

显著降低合规风险（取决于审计的深度）

无法察觉大部分内部威胁

无法察觉大部分外部威胁

无法察觉高级持续性威胁（APT）

IP可能被窃取（如果对国家与网络犯罪有兴趣）

LEVEL 2稳妥合规级

LEVEL 2 是稳妥合规级，基本特征为：1）基本安全运营能力；2）被动并且手工的工作流程；3）基本监控与响应流程。

▼▼安全运营能力

目标驱动日志（log）与事件（event）进行集中化管理

目标驱动服务器与端点取证

目标驱动环境风险特征

被动、手工脆弱性情报工作流程

被动、手工威胁性情报工作流程

基础性机器关联分析与告警优先级

建立基础性监控与响应流程

▼▼组织特征

超越最低限度复选框合规，寻求效率和改进保证

已经认识到组织无法察觉大多数威胁；致力于实际的改进，以检测和响应高风险威胁，重点关注高风险领域

已经建立正式的流程并分配监控和高风险告警职责

建立基本但正式的安全事件响应流程

▼▼风险特征

极具韧性并且高效的合规状态

对内部威胁具有良好的可见性，但存在部分盲点

对外部威胁具有良好的可见性，但存在部分盲点

大多数情况无法察觉高级持续性威胁（APT），但有可能检测到APT的指标和证据

除了那些利用APT类型攻击或针对盲点的攻击外，对网络犯罪具有更大的韧性

更容易受到国家的打击

LEVEL 3 是警觉级，基本特征为：1）正式监控与响应流程；2）面向调查与缓解工作流程的自动化；3）持续的安全运营实践。▼▼安全运营能力

LEVEL 3警觉级

全面的日志（log）与事件（event）进行集中化管理

全面的服务器与端点取证

目标驱动网络取证

基于IOC威胁情报整合到安全分析与工作流中

全面的脆弱性基础关联分析以及工作流整合

针对已知威胁检测的基于IOC与TTP场景分析与高级机器分析

目标驱动的异常检测机器分析（例如：通过行为分析）

正式、成熟的监控与响应流程，以及针对通用威胁的标准剧本

建立运转的实体或虚拟SOC

针对威胁调查工作流的案例管理

目标驱动自动化调查与缓解工作流

基础性MTTD/MTTR运营指标

▼▼组织特征

已经认识到组织无法察觉很多高影响威胁

已经在组织流程与员工数量上进行了投入，以显著改善所有类型威胁的检测与响应能力

已经投入资源建设正式的安全运营与安全事件响应中心（SOC），并且由训练有素的员工进行有效运营

针对告警进行有效地监控，并且进而能够进行主动威胁猎捕

利用自动化改进威胁调查与安全事件响应流程的效率与速度

▼▼风险特征

极具韧性并且高效的合规状态

对内部威胁高度可见性并且快速响应

对外部威胁高度可见性并且快速响应

对APT具有良好的可见性，但存在盲点

对网络犯罪具有很强的韧性，除了针对盲点的APT攻击

仍然容易受到国家打击，但很大可能更早的检测并且更快速的响应

LEVEL 4韧性级

LEVEL 4 是韧性级，基本特征为：1）高级文档化响应流程；2）自动化威胁鉴定、调查以及响应流程；3）完全自主自动化--从鉴定到缓解。

▼▼安全运营能力

全面的日志（log）与事件（event）进行集中化管理

全面的服务器与端点取证

全面网络取证

基于行业特定的IOC与TTP威胁情报整合到安全分析与工作流中

全面脆弱性情报高级关联分析以及自动化工作流整合

针对已知威胁检测的基于IOC与TTP高级场景机器分析

针对全面异常检测的高级机器分析（例如：通过基于AI/ML的全方位行为分析）

建立文档化、成熟的响应流程，以及针对高级威胁（例如：APT）的标准剧本

建立24/7运转的实体或虚拟SOC

跨组织案例协作与自动化

调查、缓解工作流全面自动化

针对通用威胁从鉴定到缓解的完全自主自动化

高级MTTD/MTTR运营指标以及历史趋势

▼▼组织特征

是国家、网络恐怖分子、犯罪组织的高价值目标

遭受所有途径的持续性攻击：物理的，逻辑的，社会的

无法容忍服务终端与违约，这意味着最高级别组织失败

总体来说，对威胁管理和安全采取积极主动的态度

投入一流的人员、技术和流程

在组织与运营冗余的情况下进行24/7的告警监控

具有广泛地主动威胁预测与威胁猎捕能力

尽可能自动化进行威胁鉴定、调查以及响应流程

▼▼风险特征

极具韧性并且高效的合规状态

发现所有类型威胁并能快速响应

在网络攻击生命周期早期发现高级持续性威胁（APT）的证据，并能够战略地管理其活动

对所有类型的网络犯罪都具有很强的韧性

能够承受并且定于大多数极端国家级对手