英格兰银行如何使用Splunk以获得主动安全性
英格兰银行正在其安全运营中心(SoC)中使用Splunk来试图在发生之前尝试发现网络攻击。
据SoC的负责人Jonathan Pagett称,该银行一直脱离传统的处理攻击攻击,以更具数据通知和主动的方法。
“一种非常历史的攻击检测方式正在寻找你了解的攻击,”他说。“我们将此称为是一个非常有反应的SoC。如果您认为有很多技术,反病毒,入侵检测系统等的事情,它们都非常寻求已知的攻击。“
但是Pagett说这个型号只是“确定”,因为攻击者正在成为这种工作方式的掌握,所以它不再可行,只是因为它发生了攻击。
引用2016年孟加拉国中央银行的攻击作为一个例子,Pagett指出,这次攻击不仅非常复杂,而且对这个特定的组织定制了 - 这是攻击者正在进入的方向。
在Pagett表示,英格兰银行开始探讨“我们如何回应和检测那些非常定制和复杂的攻击的人如何审视和检测。“你不会知道他们的样子。”
该银行正在使用Splunk远离反应性SoC,只能响应已知的威胁,现在正在努力更积极地 - 或者,因为Pagett称之为SoC 2.0。
“主动模型围绕着大量数据,然后我们称之为行为分析或对手建模,”他说。“我们试图模拟我们的攻击者可能从行为的角度来看,然后我们寻找这些行为。”
Pagett表示,黑客可以改变他们使用的技术和技术,但他们很难改变他们的行为,使这种攻击即将发生或正在进行的攻击时最简单的方法。
该银行使用Splunk来挖掘开始预测行为中的数据集。这可以从大量失败的密码尝试到更复杂的东西,例如使用焦点捕获的Microsoft Word附件等矛网络钓鱼攻击。
“当您打开Microsoft Word时,我们可能会寻找[Word Exploits]这样的东西,”Pagett说。“如果您打开文档,则存在某些程序将运行,但您不会期望看到PowerShell或命令提示符等程序。”
网络攻击操作用作“杀链链”,攻击者在达到目标之前采取的各种步骤 - 从侦察到交付攻击。
英格兰银行收集大量数据,包括来自所有笔记本电脑,服务器和网络的日志,这使得它“从所有不同阶段的良好的可见性”,以构建不同攻击可能看起来像不同的图片Pagett说,杀戮链中的点数。
他说,如果一台机器表现为其他机器,SOC知道这是要调查的事情。
“我们也做了很多机器学习,因此我们有一个数据分析团队,可以帮助实现银行的不同部分来使用数据科学技术,”Pagett说。
然而,Pagett说,实施SoC 2.0的最困难的部分是正确的才能。
“那里有一个技术组成部分,但随后还有一个大量的过程和与之相关的人,因为除非你有人开车,否则这只是一天结束时的一大百全数据,”他说。
该银行必须专注于寻找能够了解攻击者行为的技术人员以及从数据角度来看可能看起来像什么,以便可以采取行动。
“我们大约两年半前开始了Splunk,”Pagett说。“该银行当时没有使用Splunk,因此我们将其带入我们提供数据挖掘平台。与此同时,我们开始将新技能带入SoC,因此是非常多的数据科学方法。“
网络安全和数据科学专业人员是英国技术行业最受欢迎的人才之一,也有较软的人需求,更具创新技能,以促进不同的思维方式。
除了以传统的IT技能寻求新兵,Pagett表示,他总是在寻找有能力“提出抽象概念并将那些应用于数据”的能力。
英国缺乏网络安全人才,英格兰银行与网络安全挑战造成网络安全挑战,鼓励更多年轻人追求网络的职业,以及与实习生合作,给予他们真实的世界技能。
Pagett承认大多数网络专业人士需求量很高,因此保留它们,重要的是要确保他们的工作是令人兴奋的 - 以及一种方法是自动化一些更无聊的任务。
“大多数安全人员在一天结束时可以得到另一项工作,”他说。“人们可以非常挑剔他们工作的地方。我认为重要的是,为了留住人们,我们使工作实际上有趣和充实。
“如果您可以选择坐在SOC中等待警报,或者必须去找到那个攻击者,这是一个非常有趣的工作。因此,您可以在您的Soc有趣中制作您的操作模式,因此留住人。“