几乎所有大型企业或机构的IT系统中,都会有安全运营中心(SOC),它是网络安全防护体系从设备部署到系统建设,再到统一管理,这一发展过程的自然产物。但在国内的实际应用中,SOC的问题多多。
首先是数据类型不全,主要为各种网络和安全设备推出的大量日志和告警数据,再者不具备海量大数据存储分析和处理的能力,最后是专业安全人才的匮乏。这些问题均导致安全运维或分析人员疲于应付,很难从中发现真正的异常网络行为,最终令SOC名存实亡。
那么问题来了,如何改变传统SOC的种种弊端?所谓的下一代SOC又是怎样呢?
就在中秋节前夕,360企业安全发布了新一代态势感知及安全运营平台,NGSOC。下面我们就来看一看这款在360企业安全产品线中有着“大脑”和“眼睛”地位的NGSOC。
区别于传统SOC的三大特点
- 大数据
数据驱动安全的理念已得到业界的广泛认可。除了360本身拥有的云端大数据平台以外,360 NGSOC 最重要的特点之一就是本地全量数据的采集和分析。
360云端大数据平台拥有的数据:
样本库100亿+安全日志18万亿+DNS解析记录100亿+补天漏洞平台漏洞10万+
安全防护体系的一个关键基础就是持续的监测和分析能力,而这种能力基础则来自于各个层面或各个维度的数据积累。这些层面或维度包括了终端、网络、应用、系统,甚至是与人有关的数据。把之前这些各自独立的条状数据关联在一起成为块状数据,并结合不同的时间维度(事前、事中、事后),通过分布式、大数据量存储和快速计算去进行计算和关联分析,才能真正看到传统SOC所看不见的安全问题,最终形成一个由数据驱动的纵深防御体系。
- 威胁情报
在威胁发现方面,NGSOC基于的是情报+规则关联+机器学习+统计行为分析的方法,而不仅仅是简单的规则关联引擎。这种新型的情报触发方式,需要的是复杂的关联调查分析,传统的SOC产品非常难做到这一点。
例如在做本地关联分析的时候,需要了解攻击在不同主机和服务器之间的关联性,不仅要对本地日志进行快速检索,云端的威胁情报也必不可少。这时就可通过360威胁情报中心的海量数据,从样本、运维、系统等各个角度查找其关联性,结合本地数据回溯攻击过程,快速地对攻击进行鉴定。简单的说就是,以多维度数据为基础,结合云端大数据平台产生的高价值威胁情报,即云地协同,来真正帮助客户精准命中高级威胁。
“结合大数据分析平台和威胁情报支持将是SOC产品的未来方向。”
——360企业安全集团董事长齐向东
- 智慧协同
有着“大脑”和“眼睛”之中枢地位的NGSOC,需要与手脚或皮肤联动起来,即360的终端(天擎)和防火墙(天堤),形成智慧协同。
整个NGSOC平台,从最底层的一手数据采集,到大数据平台上的数据存储、处理和计算,再到利用各种工具和引擎进行深入的安全分析,最后发出告警并实施响应。这里的关键在于与终端检测响应(EDR)和网络检测响应(NDR)的协同联动。
从大数据分析平台出来的告警和策略会通过终端、防火墙的系统策略下发。传统的响应处置只是策略下发,是非自动化的,还需要进行非常复杂的各种产品配置。NGSOC则可与EDR和NDR做联动,包括对云端服务的一键求助,可快速发现并快速处置问题。
智慧联动还有一层意思,即开放API接口,使得第三方运维团队或第三方安全服务团队也能够基于这个数据平台开发应用,有利于整体安全态势感知的呈现,辅助管理层的决策。
“安全协同能力,不论在数据、智能还是产业层面,是’安全+大数据’背景下的必然产物,也是从传统安全向下一代安全的演进的重要能力。”
——360企业安全集团副总裁韩永刚
NGSOC VS 传统SOC
谈谈态势感知
360此次发布的产品名为“新一代态势感知及安全运营平台”,因此发布会后,记者就此问题采访了360企业安全总裁吴云坤。
- 态势感知的价值所在
首先是主管机构的管理要求。如网信办要看整个互联网,地方公安要看整个城市,税务或金融要看整个行业。主管或监管部门要知道整体情况,进行绩效考核、协查通报等都可以以此为基础。
再者就是辅助决策。例如,把过去十年所有某地区的高级威胁入侵方式和攻击路径、手法放在一起,可以发现攻击组织能力的变更。可以看出它最早使用的工具,通过谁控制的谁。随着重要活动或事件的发展,不管是一带一路、奥运会,还是G20,了解它的下一步目标是什么,应该怎么去防护等等,这些信息通过态势感知是可以发现的。
- 态势感知的关键点
做好态势感知的基础是数据,包括各种维度的数据。如流量数据、样本数据、漏洞数据,最近流行什么恶意软件,发现什么漏洞利用等,通过观察这些数据,态势或趋势就在其中。但这些也只是技术性态势,属于战术级的,对领导决策作用不大。因此需要数据的理解和提升,形成情报。如事件的背后组织是谁?用的什么手法,什么时候攻击什么人,最终描绘出整个组织。
所谓对数据的理解,是从个体基因者到家族基因再到组织基因的分析和辨别。
攻击目标一般分为两类,一类是普通人,一类是政府机构。前者属于民生,最大的问题就是诈骗,涉及到伪基站短信、恶意应用、非法应用等。当发现某些态势,如诈骗手法的改变时,去做及时预警。后者是和国家社会安全相关的,对电厂、交通、能源等基础设施的破坏,对科技、军事情报的窃取等,这些都是态势感知的关键点。
- 态势感知面临的挑战
实际上,市场上许多态势感知系统并没有产生非常有效的作用。地方公安系统需要的态势感知,除了对整体安全趋势的了解,最大的需求的是破案。但目前的很多态势感知系统,解决不了这个问题。而企业内部需要的信息系统态势感知,要了解一起安全事件的背后是谁实施的,具体做了哪些事情,拿走了哪些数据。同样,目前很多的安全运营系统也解决不了这些问题。
当目前的业务需求还没有满足的时候,态势感知的实施稍显空洞。
态势感知要支持高层决策,不仅要具备足够丰富的网络数据,还要与不同的机构进行协同合作。这是一个从最底层事件上升到组织背景,然后判断其发展趋势的过程,绝不能仅仅停留在感知事件的层次上。
安全牛评
NGSOC与传统SOC的最大差别,在于大数据能力的引入,再加上威胁情报、智慧协同,从而使其具备进阶的发现、响应与调查分析的能力。当然用好它还需要人与服务的结合,数据与系统作为基础,帮助安全运维人员与安全分析人员提供各类分析工具,提升效率,并最终辅助管理层决策。除此之外,完全依赖SOC来“包打天下”的想法也是不可取的。身份验证与管理,权限访问与控制,通信加密与数据保护,包括网络安全意识的教育与培训,都是做好网络空间安全工作的重要基础。
本文转自d1net(转载)
