top of page
blog_banner-1980x300.png

【StrikeReady】翻轉 SOC 與 SOAR 防禦思維,引領資安營運新篇章

  • 作家相片: Estrella Wei
    Estrella Wei
  • 6月4日
  • 讀畢需時 7 分鐘

已更新:10月1日


作者:Jeremy Nees | 編譯:AIShield 編輯部 | 發稿日期:2025 年 6 月 8 日


資安維運中心(SOC)正經歷一場根本性的轉變。過去資安團隊被海量告警淹沒,疲於奔命於不同工具間的日子,即將結束。隨著網路威脅手法日益精進,我們偵測、分析和應對威脅的方式,也必須跟著升級。


在最新一集的《TopShelfTech》節目中,主持人 Jeremy Nees 特別邀請到 StrikeReady 的技術長 Alex Lanstein,共同深入剖析現代資安維運面臨的挑戰,並探討新興解決方案。Lanstein 過去在 FireEye 和 Facebook 都有豐富資歷,對於威脅分析和資安創新有著獨到見解。


從傳統 SOAR 平台遇到的瓶頸,到以資產為中心的視圖、威脅模擬,以及 AI 輔助分析所帶來的強大效益,這次對談揭露了許多實用的洞見。對於想要從被動防禦轉型為主動出擊的資安團隊來說,絕對不容錯過。節目中也特別點出,為什麼許多企業在資安自動化上,遲遲無法實現預期的效益,以及未來新興方法將如何突破困境。


這篇部落格文章整理了 Jeremy 在《TopShelfTech》節目中與 StrikeReady 訪談的精華。影音版可於下方觀看,聽聽第一手經驗分享和深入技術解析;當然,您也可以繼續往下閱讀這篇文章,了解本集的詳細內容。





傳統 SOAR 方案的罩門在哪?


資安協同、自動化與回應(SOAR)平台,長期以來被視為解決資安工具各自為政、工作流程複雜的萬靈丹。然而,Jeremy 分享了他自己實作第一代 SOAR 解決方案的經驗,發現許多企業其實並未獲得預期的效益。


Jeremy 直言:「三年多前,我就被告知自動化可能無法帶來我預期的所有好處。現在回頭看,這話百分之百說對了。」


Lanstein 進一步解釋,為什麼傳統 SOAR 方案經常功虧一簣:它們的功能就像資安領域的機器人流程自動化(RPA),對於固定且標準化的工作流程確實管用,但面對資安調查那種變動不居的特性,就顯得力不從心。


「這些彈性高、技術性很強的 SOAR 產品,每一個整合都得個別建置,」Lanstein 說明。「資安維運人員在處理告警之前,可能想看上百種資料——這個使用者是誰、屬於哪個事業單位、這是哪台工作站、有沒有弱點掃描、修補程式狀況、上網紀錄、代理伺服器資料、DNS 資料、端點遙測資料等… 每個人都想看這些資訊。但傳統 SOAR 平台,你就得把每一個整合都單獨建置。」


另一個重大挑戰是 API 的維護。資安廠商的 API 總是推陳出新,不斷更新、淘汰舊功能、加入新功能,這讓維護整合變成一件非常耗費資源的事。


「API 隨時在變。功能會改進,或是你原本在用的功能會被廢棄。要跟上這些 API 的變化,需要多位全職員工投入,」Lanstein 指出。當企業想替換資安工具時,這種技術債會變得特別棘手,因為要在不同廠商間順利轉換,所需開發週期可能成本高昂。



資安維運的新思維:以資產為中心的視圖


資安維運的一大轉變,是從以告警為中心,轉向以資產為中心的視圖。傳統 SOAR 平台多半著重時間序列資料和告警流程,而新興方法則更重視身份和設備的脈絡化理解。


Jeremy 觀察到:「從 StrikeReady 的角度來看,我最近注意到的一大趨勢是轉向這些『資產視圖』。將一個身份視為資產,能夠查看一個身份並彙整大量相關資訊,或者針對一個設備也是如此。」


這種方法讓資安分析師能夠快速理解告警周圍的完整脈絡,無論是員工是否啟用多因素驗證、他們的存取權限、設備狀態等,都不需要切換多個系統或重複查詢。


Lanstein 強調,這種脈絡化視角也延伸到弱點管理:「我們能與您的 EDR 合作,為您建構軟體資料庫和弱點資料庫。我們會分析程式檔案執行的內容、安裝的軟體,這樣就能為您提供資產的整合視圖:這是資產本身、登入的身份,以及實際的弱點狀況。」


這種全盤考量的方式,解決了資安維運中一個常見的盲點:企業往往缺乏對其分散式系統中資產、身份和軟體的統一視圖。「在 Okta 看到的,跟 Azure 看到的可能不一樣;跟本地帳號、訪客使用者、在家工作者、透過 VPN 連線的用戶,又會有所不同… 許多企業就是沒有對資產、身份和軟體函式庫的全盤掌握,」Lanstein 點出。



克服情資挑戰:從茫茫大海中撈金針


資安團隊的一大痛點,是如何有效率地篩選非結構化的威脅情資。資安維運中心(SOC)的分析師經常透過各種管道(電子郵件、Slack、甚至紙本文件)收到威脅報告,卻必須手動提取指標、檢查日誌、並判斷其相關性。


「你讀到的威脅情資,有九成九對組織來說根本沒用,」Lanstein 指出。「這件事沒發生在你身上、你沒有這個弱點、你的產業部門不是目標、或是你就是沒被攻擊到。」


結果就是一個惡性循環:分析師投入大量時間提取指標、搜尋證據,卻鮮少發現任何相關線索。這導致他們過勞,對深入調查的熱情也逐漸消退。你會同時遇到兩種打擊:一是過勞,二是想說『下次我不會那麼努力找了,反正大概也找不到什麼』,Lanstein 解釋。而且,這項工作需要相當資深的人來做,所以你正在耗盡你最優秀的人才。


現代資安維運需要快速篩選情資,只挑出「值得深究的線索」,也就是那些與威脅指標相符的可疑網路連線、DNS 請求或處理程序執行的實際證據。這種預防性措施讓資安維運能更主動。


「這種能力非常有價值,」Jeremy 提到。「業界過去非常著重在 EDR 跳出告警… 而忽略了我們能在可能收到告警之前,先做些什麼來降低風險。」



突襲(Strikes):透過威脅模擬驗證資安控管措施


這次對談中,最創新的一項功能就是 StrikeReady 的突襲(Strikes)功能——它是一種迷你威脅模擬,用來測試企業的資安工具是否能偵測到特定的威脅。Jeremy 將其比喻為測試汽車安全功能:「你的車有安全氣囊,但你不知道安全氣囊在撞擊時效果如何,直到你測試它。當然,你不會希望真的發生事故來測試。」



How does StrikeReady’s Strike Threat Emulations Work?


StrikeReady 的威脅模擬「突襲」是如何運作的?


傳統的資安驗證方式,像是滲透測試和紅隊演練,費用高昂且執行頻率不高。「突襲」則提供了一種輕量化的替代方案,可以定期運行。


StrikeReady’s AI Agent Assistant: CARA

Lanstein 解釋了這項功能的起源:「這來自於我們在 FireEye 的經驗。客戶會傳來威脅報告,然後問我們:『嘿,我讀到 CrowdStrike 的這個酷東西,你們偵測得到嗎?』」


整個過程相當直觀:


  1. 將威脅報告餵給平台。

  2. 系統會識別檔案雜湊值、URL 和其他指標。

  3. 針對檔案雜湊值,它會找到或提供實際的檔案。

  4. 部署一部虛擬機器,上面運行著您的 EDR 代理程式和一個模擬代理程式。

  5. 將檔案載入模擬代理程式,同時您的 EDR 會掃描它。

  6. 您可以立即看到您的 EDR 是否偵測到該威脅,以及告警的樣子。


「這有助於您的資安維運中心了解:我的 EDR 對於這個威脅怎麼說?告警看起來是怎樣的?他們甚至會注意到這個告警嗎?」Lanstein 解釋道。


這項功能也延伸到網路威脅,模擬惡意通訊模式,測試網路資安工具是否能偵測並阻擋它們。該平台甚至可以針對已識別的威脅,暫時部署阻擋規則,然後在預設時間後自動移除這些規則,以避免規則過度膨脹。



AI 在提升資安維運中的角色


對談的最後一個環節,探討了人工智慧如何徹底改變資安維運。StrikeReady 的 CARA 虛擬資安維運分析師,也就是現在所謂的「代理式 AI」,以多種方式協助分析師。


「能夠利用這些大型語言模型(LLM)來理解,這是一個 PowerShell 進程,帶有這些開關、命令參數和編碼內容,真的非常有用,」Lanstein 解釋。「能夠將這些資料直接輸入到本地託管的 LLM 中,然後說『請解釋這個告警給我聽。這東西到底在做什麼?』,這真的很有用。」

這項功能為分析師省下大量時間,讓他們不必手動解碼混淆的命令,也能理解複雜的程序。雖然資安專家也能手動執行這些分析,但 AI 大幅加速了這個過程。


對於經驗較少的團隊成員,AI 提供了教育價值:「對於資淺人員來說,能夠直接理解程序應該如何運作,」這提供了重要的背景知識和技能發展機會。


文件編撰是 AI 的另一個強項:「事件回應過程中,有很大一部分的工作就是記錄你所做的一切,無論最終是否有發現什麼問題。」AI 可以創建調查步驟、發現結果和所採取行動的全面摘要。


Lanstein 強調了在資安中使用 AI 的兩個關鍵考量:


  1. 資料隱私:「一個大問題是,人們想使用這些工具,然後就直接把所有告警都丟到 ChatGPT 上… 你的資料就沒了,不再有邊界了。」

  2. 幻覺管理:「當你可以圍繞著你本地產生的資料來建構你的 LLM 時,幻覺問題會大幅降低。」


展望未來,StrikeReady 計劃擴展其遙測能力:「下一件大事是能夠真正視覺化所有遙測資料… 端點遙測、基於電子郵件的元資料、Netflow 和身份驗證。」這將使團隊能夠針對傳入的遙測資料編寫自定義偵測規則,進一步豐富平台的上下文和偵測能力。



結論


資安維運中心的演進,反映了資安領域更廣泛的變化。隨著攻擊手法越來越複雜,資料量也越來越龐大,傳統的資安監控、調查和回應方法,已經無法跟上腳步。


Jeremy 在《TopShelfTech》節目中與 StrikeReady 技術長 Alex Lanstein 的訪談,凸顯了現代資安維運的幾個關鍵轉變:


  • 從以告警為中心,轉向以資產為中心的視圖,提供更豐富的脈絡資訊。

  • 從手動篩選威脅情資,轉向自動化評估相關性。

  • 透過例行且輕量化的威脅模擬,持續驗證資安控管措施。

  • 運用專為資安打造且尊重資料邊界的 AI,增強分析師的能力。


這些方法讓資安團隊能夠更有效率地工作,專注於高價值活動,並從被動防禦轉變為主動的資安態勢。資安維運的未來,不僅需要整合資料的工具,更需要能夠提供有意義脈絡、智能輔助,並持續驗證資安控管措施的技術。


隨著資安威脅持續演進,我們偵測和回應威脅的方式也必須隨之調整。最成功的資安團隊,將會是那些擁抱這些轉變,並善用新興技術來增強而非取代人類專業知識的團隊。


想了解 StrikeReady 如何協助您的 SOC 團隊翻轉防禦思維、加速威脅應變?

👉 聯繫我們 探索更多解決方案。


本文翻譯自 The Instillery 原文:“ The Evolution of SOC, SOAR & Security Command Centers with StrikeReady - TopShelfTech

發佈日期:2025 年 3 月 22 日

bottom of page