Sigma 规则如何帮助解决网络安全技能短缺问题
admin
2024-02-10 20:26:27
0

信息系统安全协会 (ISSA) 和行业分析公司 Enterprise Strategy Group (ESG) 的一项全球研究表明,令人担忧的网络安全技能短缺问题在 2021 年连续第五年肆虐。这种技能短缺影响了 57% 的组织,导致网络安全团队的工作量增加、网络安全职位空缺空缺以及网络安全团队成员的高度倦怠。

一种名为 Sigma 规则的网络安全团队相对较新的工具为技能危机提供了缓解选项。它可能无法完全消除这个问题,但它可以为团队提供喘息空间做出重大贡献,因为他们正在应对因没有足够的人手来应对侵略性和不断发展的网络威胁而造成的严重影响。

西格玛规则概述
Sigma 规则是文本签名,旨在促进检测日志事件中的异常和可疑活动。它使用YAML编写,类似于 YARA,作为共享威胁检测信息的工具。不过,它的不同之处在于它专注于 SIEM 而不是网络流量和文件。Sigma 规则主要用于检测符合 SOC 工程师指定的特定标准的日志事件。此功能对于启用事件检测和响应系统的自动响应至关重要。

使用 Sigma 规则的最大好处是它们的标准化格式。Sigma 规则格式取代了供应商特定 SIEM 平台使用的格式或语言。在由于缺乏合格成员而导致网络安全团队过度劳累和精疲力竭的情况下,这一优势非常重要。

Sigma 规则的概念于 2017 年引入,由检测工程师 Florian Roth 和开源安全工具开发人员 Thomas Patzke 共同开发。Roth 还开发了 THOR APT 扫描器,这是一款功能齐全的 YARA 和 IOC 扫描器,旨在自动评估安全漏洞。Patzke 一直积极参与事件响应和威胁搜寻活动,他对 Log4Pot 漏洞 (CVE-2021-44228) 的分析做出了显着贡献。

解决技能短缺问题
Sigma 规则的一大亮点是它们用于检测信息共享的标准化格式。这是至关重要的,因为它允许团队编写一次规则并将它们应用于不同的SIEM 解决方案。无需为不同的 SIEM 操作重写规则,这意味着效率显着提高。

例如,如果团队已经为 Azure Sentinel SIEM 工具编写了 Sigma 规则,则在 Splunk 中使用相同的规则不需要从头开始重写代码。Sentinel 代码可以自动转换为适用于 Splunk 的代码。这是可能的,因为 Sigma 规则是开源的。一旦规则以 Sigma 规则格式编写,这些规则对每个人都可用或有用,即使他们使用不同的 SIEM 工具。

采用 Sigma 规则可显着减少参与安全信息和事件管理操作的人员的任务。这意味着安全团队不太可能被大量任务和倦怠案例所淹没。虽然公司仍在寻找更多合格的SOC 工程师加入团队,但现有的 SOC 工程师已经可以通过使用 Sigma 规则来减少他们的工作量。

学习如何编写 Sigma 规则非常具有挑战性。Sigma 规则创建指南有一个规则创建模板,任何人都可以使用它来入门。但是,熟悉书写错误的常见规则也很重要,例如在标题中使用前缀、警报名称少于 50 个字符、反斜杠使用不当以及不注意标题大小写。

预先编写的 Sigma 规则
采用 Sigma 规则可以借助现成的 Sigma 规则进一步提高 SIEM 运营效率。这些是安全解决方案提供商根据他们长期以来收集的威胁检测信息预先制定的规则。

SOC 工程师根据他们从各种来源获得的信息编写他们的威胁检测规则,从威胁情报数据库到来自 MITRE ATT&CK 等对抗性策略检测框架的更新。这些信息是通过安全验证或安全态势管理平台不断积累的,因此不利用现成的细节来促进快速自动编写规则以供各地 SOC 团队使用是不明智的。

这种 Sigma 规则的预写可以消除 SOC 工程师编写规则的需要。他们可能只需要偶尔评估自动生成的规则或进行审计以检查规则是否正确编写以及它们是否符合预期目的。

传统的威胁检测规则编写占据了 SOC 工程师工作时间的很大一部分。他们不可避免地不得不为每一个发现的新威胁重复编写规则。这是一个乏味且耗时的过程,一些 SOC 工程师会发现极难处理。SOC 团队需要更多人手来确保准确、及时地编写规则,以跟上新漏洞和网络攻击的出现。Sigma 规则和预先编写的 Sigma 规则明显减轻了 SOC 团队必须处理的负担。 

Sigma 规则的其他好处
间接地,Sigma 规则通过为网络威胁研究人员和情报人员提供一种不可知的方式来共享他们的威胁检测信息,从而帮助改善网络安全社区。这消除了安全工程师完成转换(针对其他平台)他们编写的规则或编写有关新威胁检测的报告的过程。

独立的安全研究人员也将有权分享他们的检测数据。通过使用标准化的 Sigma 规则格式,他们立即成为依赖开源信息的全球网络安全研究社区的一部分。

使用 Sigma 规则还有利于处理多个 SIEM、端点检测、响应和日志分析平台以及数据分类法或模式的 MSSP 和 MDR。它还消除了供应商锁定带来的不便,供应商锁定迫使组织继续使用特定的专有工具,因为他们的所有数据都以专有格式记录和保存。因此,切换到其他选项变得太不方便了。

同样,Sigma 规则并不是解决全球持续存在的网络安全技能短缺问题的方法。这个问题需要一种涉及教育机构、网络安全行业和企业的整体方法。然而,Sigma 规则提供了真正的好处,可以减轻 SOC 工程师的工作量,并帮助他们承担大量的工作,直到招募和部署更多的安全工程师。

相关内容

热门资讯

消息称百度旗下昆仑芯瞄准500... 6 月 29 日消息,据《The Information》昨日援引知情人士消息,百度旗下 AI 芯片...
打造夏日消费新场景 第35届北... 北京商报讯(记者 翟枫瑞)6月29日消息,第35届北京国际燕京啤酒文化节新闻发布会在京举行。本届啤酒...
社保基金持仓数据出炉,一季度增... 最近各大上市公司一季度财报都公开了,咱们国家社保基金的持仓数据也全部曝光。目前社保拿着比亚迪价值44...
36氪首发 | 海思、中兴团队... 作者 | 乔钰杰 编辑 | 袁斯来 硬氪获悉,广州宸思通讯科技有限公司(以下简称“宸思科技”)近日完...
两天蒸发47亿市值!一纸税务通... 一纸税务通知书,能让一家百亿龙头两天蒸发47亿市值。 6月22日,北大荒(600598.SH)公告称...
SK海力士将投资1100万亿韩... SK集团会长崔泰源6月29日在韩国“三大重大计划”发布会上宣布,公司将投资1100万亿韩元扩大半导体...
两只A股,终止上市! 两家A股公司,即将摘牌。 6月29日,退市沪科(600608.SH)公告称,上海证券交易所将在202...
原创 M... 一家成立近十年的自动驾驶公司,在IPO时吸引了14家基石投资者认购近一半的发行股份,其中不乏奔驰、比...
基金忠言|国寿安保滤镜碎,三年... 图片来源:视觉中国 蓝鲸新闻6月29日讯(记者 祁和忠)保险系基金公司国寿安保总经理换人了。 6月2...
三星电机计划加码玻璃基板!相关... 6月29日,玻璃基板概念股午后有所回升, 华工科技(000988.SZ)逼近涨停, 彩虹股份(600...
拉萨海关持续壮大外贸经营主体 ...   新华网拉萨6月28日电(记者蒋梦辰)近日,记者从拉萨海关获悉,今年前5个月,西藏有进出口实绩的外...
机构:二季报临近,医药生物板块... 6月29日,华源证券发布了一篇医药生物行业的研究报告,报告指出,业绩期临近,产业链景气度有望再次迎来...
每日收评科创50放量涨超4.5... 财联社6月29日讯,三大指数全线收红,创业板指探底回升,科创50指数大涨4.61%。沪深两市成交额3...
6月多地土拍结构性升温:深圳单... 进入2026年6月,不少城市核心区地块集中诞生高溢价宗地,热度突出的城市包含深圳、杭州、长沙。 其中...
业绩炸裂!盛达资源半年预盈3.... 6月29日,贵金属矿山龙头盛达资源(000603.SZ)发布 2026 年半年度业绩预告,上半年业绩...
A股午后拉升三大股指收涨:半导... A股三大股指6月29日开盘涨跌互现。早盘沪强深弱,创指一度跌超2%。半导体午后拉升,带动两市上涨,沪...
原创 空... 前言 大家好,我是老金。 这几天,两幅极度割裂的画面放在一起,把我看笑了。 一边是在持续的热浪下,欧...
澳大利亚审慎监管局拟放宽银行风... 澳大利亚审慎监管局(APRA)6月29日就修改 银行信用风险资本设定公开征求意见,旨在加大信贷投放以...
全民炒股,急踩刹车!韩国股市突... 屈红燕/证券时报网 全民狂欢、交易高度拥挤、杠杆资金猛增、新入市投资者表现激进、大型IPO吸金等现象...