國(guó)內(nèi)SOC現(xiàn)狀分析與如何完善

前言

　從上世紀(jì)80年代初美國(guó)提出“信息戰(zhàn)”這一軍事術(shù)語(yǔ)開(kāi)始到信息安全事件頻發(fā)的今天。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)從最初國(guó)防、科研的應(yīng)用普及到了我們生活之中，并成為了我們社會(huì)結(jié)構(gòu)的一個(gè)基本組成部分。信息戰(zhàn)的愈演愈烈導(dǎo)致現(xiàn)今信息安全的地位上升到了國(guó)家的層面，信息戰(zhàn)的范圍也從軍事和國(guó)防延沿到了商業(yè)、組織團(tuán)體與個(gè)人，隨之而來(lái)信息安全的重要性也在逐步加強(qiáng)。

創(chuàng)新互聯(lián)的團(tuán)隊(duì)成員不追求數(shù)量、追求質(zhì)量。我們經(jīng)驗(yàn)豐富并且專(zhuān)業(yè)，我們之間合作時(shí)就好像一個(gè)人，協(xié)同一致毫無(wú)保留。創(chuàng)新互聯(lián)珍視想法，同時(shí)也看重過(guò)程轉(zhuǎn)化帶來(lái)的沖擊力和影響力，在我們眼中，任何細(xì)節(jié)都不容小覷。一直致力于為企業(yè)提供從國(guó)際域名空間、網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)、商城網(wǎng)站制作、網(wǎng)站推廣、網(wǎng)站優(yōu)化到為企業(yè)提供個(gè)性化軟件開(kāi)發(fā)等基于互聯(lián)網(wǎng)的全面整合營(yíng)銷(xiāo)服務(wù)。

　至2014年，已有40多個(gè)國(guó)家頒布了網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略，僅美國(guó)就頒布了40多份與網(wǎng)絡(luò)安全有關(guān)的文件。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。該領(lǐng)導(dǎo)小組將著眼國(guó)家安全和長(zhǎng)遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會(huì)及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問(wèn)題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，推動(dòng)國(guó)家網(wǎng)絡(luò)安全和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力。

　信息安全的防御難度遠(yuǎn)遠(yuǎn)大于***，其主要的原因是真實(shí)的***隱藏在海量的正常數(shù)據(jù)流之中，加上***行為特征的難以提取、***渠道的多元化和***空間的不確定性等因素，直接導(dǎo)致了***的漏報(bào)率居高不下?？鬃拥摹墩撜Z(yǔ)·衛(wèi)靈公》中提到“工欲善其事，必先利其器”，單以個(gè)人技術(shù)而論，中國(guó)***并不遜色美國(guó)、俄羅斯***太多。但是在缺乏全局信息安全監(jiān)控和關(guān)聯(lián)警報(bào)的情況下，有限的安全專(zhuān)家在疲于奔命中也疏漏了大多數(shù)的風(fēng)險(xiǎn)。針對(duì)此類(lèi)情況我們迫切需要的是，一套能基于威脅建模并智能判定風(fēng)險(xiǎn)真實(shí)性的SOC體系。

一、       為什么要使用SOC

    隨著信息產(chǎn)業(yè)化的加劇各行各業(yè)對(duì)信息依賴的程度越來(lái)越高，也越來(lái)越重要。因此當(dāng)信息變成資產(chǎn)，如何保障信息系統(tǒng)的安全已成為其信息系統(tǒng)建設(shè)過(guò)程中最重要的任務(wù)。

    企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)建設(shè)并不是一次性完成的，在通常情況下會(huì)著重于應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)備，而對(duì)其信息安全系統(tǒng)的建設(shè)重視程度不夠、投資不足，在這種情況下導(dǎo)致了信息安全系統(tǒng)缺乏系統(tǒng)化設(shè)計(jì)。此類(lèi)的信息安全系統(tǒng)會(huì)由不同廠家、不同時(shí)期的產(chǎn)品拼湊起來(lái)，僅僅能抵御來(lái)自某些方面的安全威脅，而各個(gè)子系統(tǒng)“各自為戰(zhàn)”彼此成防御孤島，無(wú)法實(shí)現(xiàn)協(xié)同防御也無(wú)法保持安全策略的一致性；與此同時(shí)，其內(nèi)部網(wǎng)的各種服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，在其運(yùn)營(yíng)期間會(huì)產(chǎn)生的大量的安全日志、操作維護(hù)日志和告警事件等，面對(duì)大量涌來(lái)的分散的安全信息、各種產(chǎn)品不同的界面和告警窗口，即便是專(zhuān)業(yè)的信息安全管理人員也往往束手無(wú)策,難以發(fā)現(xiàn)真正的安全隱患。

    對(duì)于上述情況的企業(yè)迫切需要建立安全運(yùn)營(yíng)中心（SOC）。這樣做的目的不是為了加強(qiáng)安全，而是將全網(wǎng)與信息安全相當(dāng)?shù)娜罩炯衅饋?lái)統(tǒng)一的進(jìn)行監(jiān)控、分析和存儲(chǔ)。想要掌控全網(wǎng)的安全，首先必需準(zhǔn)確了解全網(wǎng)的安全運(yùn)營(yíng)狀態(tài)。SOC對(duì)于企業(yè)的真正價(jià)值不僅僅是簡(jiǎn)單的安全防護(hù)，它是從整體上、系統(tǒng)化的幫助企業(yè)具備了感知安全威脅的能力，

二、       SOC產(chǎn)品的不完整性

    完整的SOC產(chǎn)品，要求能夠?qū)Σ煌瑥S商的設(shè)備日志進(jìn)行收集、標(biāo)準(zhǔn)化并提供監(jiān)控、報(bào)警、規(guī)則、過(guò)濾器、資產(chǎn)、報(bào)表等功能。如果不能靈活的使用SOC的功能進(jìn)行威脅建模、關(guān)聯(lián)規(guī)則等，那么這樣的SOC只能實(shí)現(xiàn)SIEM（安全信息和事件管理）的功能，即對(duì)所有的日志進(jìn)行收集、安全存儲(chǔ)、分析、警報(bào)、審核以及合規(guī)性報(bào)告。這樣只解決了日志存儲(chǔ)和審計(jì)的問(wèn)題，并不能減輕安全分析人員的工作量也無(wú)法從根本上解決大量的誤報(bào)、漏報(bào)問(wèn)題。這也是很多企業(yè)購(gòu)買(mǎi)SOC產(chǎn)品過(guò)后，無(wú)法實(shí)現(xiàn)預(yù)期效果的主要原因。

    建立SOC威脅模型需要結(jié)合企業(yè)的內(nèi)部資產(chǎn)環(huán)境，以安全事件管理為關(guān)鍵流程、行為分析為框架，采用安全域劃分的思想進(jìn)行設(shè)計(jì)。至于關(guān)聯(lián)與合并日志是要通過(guò)建立規(guī)則去完成，而每個(gè)企業(yè)的實(shí)際情況和面臨的主要安全威脅都不一樣，所以這樣的規(guī)則是需要和用戶溝通過(guò)后，按照實(shí)際情況才能完成的。這些都不是單純的產(chǎn)品能夠解決的問(wèn)題。

    從本質(zhì)上來(lái)看SOC不是一款單純的產(chǎn)品，而是一個(gè)復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還有運(yùn)維（運(yùn)營(yíng)），SOC是技術(shù)、流程和人的有機(jī)結(jié)合。SOC產(chǎn)品是SOC系統(tǒng)的技術(shù)支撐平臺(tái)，這是SOC產(chǎn)品的價(jià)值所在，我們既不能夸大SOC產(chǎn)品的作用，也不能低估他的意義。

三、       SOC事件歸集和分析的方法

    SOC的首要任務(wù)就是對(duì)日志的收集、歸并和分類(lèi)。網(wǎng)絡(luò)設(shè)備與安全設(shè)備日志造成海量誤報(bào)、告警混淆的原因大多是因?yàn)橹貜?fù)的安全事件。例如，某管理員收到1000條日志報(bào)警，但通過(guò)關(guān)聯(lián)性分析發(fā)現(xiàn)是因?yàn)橐粋€(gè)***者使用X***和DoS工具所致，經(jīng)過(guò)歸并后的日志條數(shù)為2條，統(tǒng)計(jì)數(shù)量為1000，類(lèi)別為X***和DoS工具。

    以下列常見(jiàn)的***為例，（DDoS***、網(wǎng)絡(luò)***、Web***、暴力破解***、僵木蠕），我們可以用這五類(lèi)事件建立規(guī)則，根據(jù)***結(jié)果和危害等級(jí)定義生成的關(guān)聯(lián)事件名稱(chēng)，如信息泄露、系統(tǒng)不可用、代理***等。針對(duì)不同的***場(chǎng)景，我們需要采用不同安全設(shè)備進(jìn)行告警采樣分析，并在測(cè)試中完善規(guī)則的兼容性。而針對(duì)***報(bào)警而言，這樣的分析方法比較沒(méi)有SOC之前僅僅形成了一條事件告警，大大降低了告警量。

案例分析

    在2014年6月份，美國(guó)某網(wǎng)絡(luò)安全公司發(fā)布報(bào)告稱(chēng)，中國(guó)軍人對(duì)西方國(guó)家實(shí)施了網(wǎng)絡(luò)******以協(xié)助發(fā)展中國(guó)衛(wèi)星和航天項(xiàng)目。

    NASA 所屬的EOS安全小組使用可管理安全服務(wù)成功阻止國(guó)APT***，據(jù)稱(chēng)這些***首先***了RSA，部分SecurID 技術(shù) （RSA 的根證書(shū)）及客戶資料被竊取。其后果導(dǎo)致很多使用 SecurID 作為認(rèn)證憑據(jù)的公司——包括洛克希德 馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商受到***，重要資料被竊取。后來(lái)***開(kāi)始 APT *** NASA 美國(guó)國(guó)家航空航天局，因?yàn)?**還需要一個(gè)重要的個(gè)人因子（個(gè)人PIN 碼）沒(méi)有獲取。此時(shí)RSA 發(fā)現(xiàn)被***后，不得已向聯(lián)邦政府進(jìn)行了匯報(bào)，聯(lián)邦政府立刻發(fā)布相關(guān)預(yù)警，于是 NASA 接收到預(yù)警后，派在大數(shù)據(jù)方面最有經(jīng)驗(yàn)的地球觀測(cè)系統(tǒng)（EOS）安全小組進(jìn)行監(jiān)控，EOS 小組采用 Splunk進(jìn)行分析，成功地阻斷了***，因此，美國(guó)的績(jī)效監(jiān)督管理中心為表彰美國(guó)航空航天局的網(wǎng)絡(luò)防御成功，將其作為信息安全連續(xù)監(jiān)測(cè) （ISCM）的一個(gè)聯(lián)邦網(wǎng)絡(luò)安全最佳實(shí)踐予以確認(rèn)，并給予資金和研究方面的資助，并將成果公開(kāi)。

    實(shí)際上，NASA開(kāi)始承認(rèn)他們以前的風(fēng)險(xiǎn)管理策略是 “等待”事件發(fā)生，如果發(fā)現(xiàn)，就高效地響應(yīng)，然后重復(fù)。這通常意味著NASA的風(fēng)險(xiǎn)反應(yīng)能力非常緩慢，而且?guī)缀蹩偸窃诎l(fā)生***、數(shù)據(jù)或系統(tǒng)完全破壞之后，特別是APT的0day***使得持續(xù)風(fēng)險(xiǎn)管理策略根本未起到任何作用。在2010年美國(guó)頒布sma2.0后，提出SP 800-37的原則是“將一個(gè)靜態(tài)安全控制評(píng)估和風(fēng)險(xiǎn)確定過(guò)程變換為一個(gè)動(dòng)態(tài)的過(guò)程……”， “必須從分散的文書(shū)評(píng)估工作（事后）轉(zhuǎn)移到更有效的持續(xù)監(jiān)測(cè)工作（運(yùn)營(yíng)中）?！?NASA的安全管理工作發(fā)生了“方向的轉(zhuǎn)變”，在 “只有能測(cè)量，才能改進(jìn)”的經(jīng)營(yíng)理念下，利用持續(xù)監(jiān)控來(lái)進(jìn)行風(fēng)險(xiǎn)度量，提高安全性。

NASA認(rèn)為他們成功的關(guān)鍵點(diǎn)有三。

1. 持續(xù)監(jiān)控 Continuous Monitoring

持續(xù)監(jiān)控是為了對(duì)運(yùn)行中的系統(tǒng)進(jìn)行連續(xù)的合規(guī)性檢測(cè)，并使用規(guī)則進(jìn)行關(guān)聯(lián)分析和預(yù)警，進(jìn)而為安全分析師提供充足的信息支持。

2. 風(fēng)險(xiǎn)計(jì)分卡Risk Score Cards

NASA采用風(fēng)險(xiǎn)計(jì)分卡 Risk Score Cards來(lái)評(píng)估各個(gè)中心的安全績(jī)效，并通過(guò)可查詢的方式提供風(fēng)險(xiǎn)原因等信息。NASA各中心為了提升各自的安全績(jī)效，則會(huì)積極在所限定的時(shí)間內(nèi)完成修補(bǔ)工作。

3. ***樹(shù) Attack Tree

NASA把***的過(guò)程分成偵察、定向***、攻陷和網(wǎng)絡(luò)***、安裝工具/程序、惡意危害等。NASA通過(guò)此類(lèi)模型采用Splunk搜索可疑行為，從而有效地挫敗了這次***。

四、       如何通過(guò)安全事件分析模型完善SOC產(chǎn)品的不足

    在歐美SOC的技術(shù)和運(yùn)用已經(jīng)非常成熟，SOC并非單純的產(chǎn)品，而是一個(gè)復(fù)雜的系統(tǒng)工程，包括了產(chǎn)品、運(yùn)維以及服務(wù)，在產(chǎn)品體現(xiàn)上是以SIEM來(lái)代表SOC產(chǎn)品，MSSP（可管理安全服務(wù)提供商）來(lái)負(fù)責(zé)SOC的運(yùn)維和服務(wù)。這要求了MSSP擁有豐富的SOC運(yùn)營(yíng)經(jīng)驗(yàn)、標(biāo)準(zhǔn)的運(yùn)作和管理流程、完整SOC運(yùn)營(yíng)團(tuán)隊(duì)、資深的安全專(zhuān)家與安全分析師、根據(jù)不同的客戶環(huán)境建立SOC安全模型的能力、成熟的風(fēng)險(xiǎn)告警與響應(yīng)機(jī)制。業(yè)界給與的SOC定義為：以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。搭建安全運(yùn)營(yíng)中心則需要以下三要素：技術(shù)、流程和人員，而國(guó)外廣泛使用的可管理安全服務(wù)則是基于安全運(yùn)營(yíng)中心提供的服務(wù)，此服務(wù)的根本原理正是使用了安全事件追溯與證據(jù)鏈的分析模型和標(biāo)準(zhǔn)化流程。

基于安全事件分析模型的SOC能解決以下問(wèn)題。

1. 降低成本：人員配置，技能要求，場(chǎng)地需求。

2. 全天候監(jiān)控：7×24的監(jiān)控服務(wù)。

3. 風(fēng)險(xiǎn)監(jiān)控：有效監(jiān)控安全風(fēng)險(xiǎn)，第一時(shí)間提供解決方案。

4. 發(fā)現(xiàn)和解決問(wèn)題：及時(shí)發(fā)現(xiàn)和解決可能存在的安全問(wèn)題。

5. 趨勢(shì)分析：專(zhuān)業(yè)的安全趨勢(shì)分析，月、季、年安全分析報(bào)告。

6. 日志存儲(chǔ)和查詢：日志有效存儲(chǔ)和備份、快速查詢定位。）

    通過(guò)安全分析模型與標(biāo)準(zhǔn)流程，則可以解決上述的SOC產(chǎn)品的不足，服務(wù)可以根據(jù)用戶的實(shí)際情況，在安全日志的基礎(chǔ)上建立日志歸并、關(guān)聯(lián)、分析、響應(yīng)、解決方案，用戶需要做的只是處理這一步，這樣就能簡(jiǎn)單地解決上面提到的各種問(wèn)題。

首先，在技術(shù)方面，安全運(yùn)營(yíng)中心系統(tǒng)需要具備監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)和報(bào)告等功能并綜合使用這些功能完成安全事件追溯與證據(jù)鏈的分析模型的架構(gòu)，同時(shí)需要搭建一個(gè)專(zhuān)用的安全運(yùn)營(yíng)中心場(chǎng)地，具備一切安全運(yùn)營(yíng)的硬件條件；

其次，在流程方面，傳統(tǒng)的解決方案，通過(guò)安全產(chǎn)品發(fā)現(xiàn)安全事件后，則根據(jù)專(zhuān)業(yè)的安全專(zhuān)家的個(gè)人經(jīng)驗(yàn)進(jìn)行解決，而安全運(yùn)營(yíng)中心則是基于ISO 20000或者ITIL的標(biāo)準(zhǔn)流程進(jìn)行

最后，在人員方面，如果客戶對(duì)業(yè)務(wù)連續(xù)性比較高，客戶還需要建立7*24小時(shí)的團(tuán)隊(duì)以應(yīng)對(duì)安全問(wèn)題的發(fā)生，除此之外，在團(tuán)隊(duì)建設(shè)中還需要有不同的安全技術(shù)梯隊(duì)，以確保安全事件的升級(jí)響應(yīng)、安全事件研究與分析、應(yīng)急預(yù)案的制定和演練等，都是搭建安全運(yùn)營(yíng)中心必須要考慮到的關(guān)鍵點(diǎn)。

五、       制約中國(guó)SOC發(fā)展的原因和未來(lái)需求

   國(guó)內(nèi)SOC的引入和發(fā)展與國(guó)外的情況有很大不同，一方面國(guó)內(nèi)在提出SOC的時(shí)候，大多數(shù)用戶對(duì)SOC認(rèn)識(shí)模糊認(rèn)可度很低。另一方面，由于受制于國(guó)內(nèi)體制、政策、應(yīng)用環(huán)境、傳統(tǒng)認(rèn)識(shí)的制約，安全運(yùn)維的外包也一直遭到排斥。所以國(guó)內(nèi)的SOC一開(kāi)始就是面向各類(lèi)行業(yè)用戶以產(chǎn)品形態(tài)出現(xiàn)，正因?yàn)檫@樣SOC中最為核心的運(yùn)維與服務(wù)才被忽視。

    孫子兵法云“知己知彼，百戰(zhàn)不殆”。在中美網(wǎng)絡(luò)安全領(lǐng)域“斗而不破”的遏制與反遏制、打壓與反打壓博弈中，對(duì)美方的戰(zhàn)略、能力、產(chǎn)業(yè)、技術(shù)等進(jìn)行全面綜合的了解至關(guān)重要。但遺憾的是，過(guò)去中方的視角長(zhǎng)久的放在關(guān)鍵基礎(chǔ)技術(shù)領(lǐng)域，放在微軟、英特爾、谷歌、蘋(píng)果等廠商身上，卻忽略了美國(guó)產(chǎn)業(yè)體系中一股強(qiáng)大而獨(dú)立的力量信息安全企業(yè)星群，他們也同樣是美國(guó)全球戰(zhàn)略能力的基石。而透過(guò)斯諾登事件公眾們亦知道了，他們與美國(guó)的龐大國(guó)家機(jī)器微妙互動(dòng)，強(qiáng)化了后者覆蓋全球的情報(bào)能力。

    與此同時(shí)，對(duì)于云計(jì)算、大數(shù)據(jù)等此類(lèi)新技術(shù)，需要在出臺(tái)相應(yīng)的技術(shù)標(biāo)準(zhǔn)時(shí)更加重視安全問(wèn)題。實(shí)際上，國(guó)內(nèi)通信企業(yè)早些時(shí)候已經(jīng)開(kāi)始正視信息安全問(wèn)題，已經(jīng)有不少利用國(guó)內(nèi)廠商設(shè)備替代美國(guó)公司設(shè)備的成功案例。在此等形勢(shì)下，迫切需要發(fā)展本土的MSSP可管理安全服務(wù)提供商建立國(guó)產(chǎn)化的SOC體系，在全局上掌控信息安全的狀況與威脅。

    綜上所述只有在有形的產(chǎn)品和無(wú)形的安全管理服務(wù)相互配合的基礎(chǔ)上，才能避免核心機(jī)密被類(lèi)似的“棱鏡”項(xiàng)目所窺視。