1     概述

信息安全免疫力低下是我國(guó)信息安全的基本現(xiàn)狀，因?yàn)槲覈?guó)對(duì)于安全威脅的檢測(cè)和處理方式仍然位于人工檢測(cè)+事后審計(jì)處理的階段。此種方式對(duì)比現(xiàn)今大數(shù)據(jù)的應(yīng)用、APT***等技術(shù)手段，人工審查風(fēng)險(xiǎn)的方式已經(jīng)相當(dāng)落后，在國(guó)際上處于被動(dòng)挨打的狀態(tài)?，F(xiàn)今***產(chǎn)業(yè)化與APT***國(guó)際化已經(jīng)成型，信息安全關(guān)乎國(guó)家安全，如果我們的命門掌握在他人之手，套路盡在別人掌控，這對(duì)于信息安全是極大的威脅。在此等形勢(shì)下，迫切需要發(fā)展本土智能化、高性能、高準(zhǔn)確性的SOC體系“安全運(yùn)營(yíng)中心”來對(duì)抗上述風(fēng)險(xiǎn)。

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供漢臺(tái)網(wǎng)站建設(shè)、漢臺(tái)做網(wǎng)站、漢臺(tái)網(wǎng)站設(shè)計(jì)、漢臺(tái)網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、漢臺(tái)企業(yè)網(wǎng)站模板建站服務(wù)，十年漢臺(tái)做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

SOC在國(guó)內(nèi)的發(fā)展和應(yīng)用相對(duì)落后，普遍被當(dāng)成軟件產(chǎn)品來銷售，而SOC實(shí)用化還處于理論階段。現(xiàn)今國(guó)內(nèi)絕大多數(shù)SOC都被當(dāng)成SIEM日志集中收集和管理來用，而最為核心的關(guān)聯(lián)分析和風(fēng)險(xiǎn)監(jiān)控（SOC安全代運(yùn)維服務(wù)或稱之為可管理安全服務(wù)）還處于初級(jí)階段。此種畸形的狀況是由于國(guó)內(nèi)體制、政策、應(yīng)用環(huán)境、傳統(tǒng)認(rèn)識(shí)、歐美對(duì)SOC技術(shù)的封鎖等原因的制約，才迫使國(guó)內(nèi)的SOC一直得不到進(jìn)步與發(fā)展。

現(xiàn)今建設(shè)一套智能化、高可用性的SOC系統(tǒng)，必需具備強(qiáng)大的SOC產(chǎn)品、實(shí)時(shí)準(zhǔn)確的威脅情報(bào)以及專業(yè)的SOC安全代運(yùn)維服務(wù)，具體內(nèi)容如下。

1. 1.   基于大數(shù)據(jù)技術(shù)高性能、關(guān)聯(lián)分析引擎強(qiáng)大的SOC產(chǎn)品；

2. 2.   SOC安全威脅檢測(cè)模型；

3. 3.   來自外/內(nèi)部的威脅情報(bào)；

4. 4.   簡(jiǎn)單易懂的風(fēng)險(xiǎn)展示平臺(tái)、智能告警平臺(tái)和強(qiáng)大的報(bào)告系統(tǒng)；

2     泰合計(jì)劃

在今年四月份啟明星辰對(duì)外正式發(fā)布了泰合安全威脅分析合作計(jì)劃，并宣布了包括可管理安全服務(wù)提供商-諾恒信息、威脅情報(bào)服務(wù)提供商-天際友盟和微步在線、安全威脅情報(bào)聯(lián)盟-烽火臺(tái)在內(nèi)的首批合作伙伴，引領(lǐng)SOC安管平臺(tái)開放、連接、協(xié)同的發(fā)展大趨勢(shì)。

這一信號(hào)表明，國(guó)內(nèi)的SOC已經(jīng)從單一的賣產(chǎn)品，開始轉(zhuǎn)變成SOC產(chǎn)品＋MSS服務(wù)＋威脅情報(bào)的方式來實(shí)現(xiàn)SOC實(shí)用化的交付。這也證實(shí)了國(guó)內(nèi)越來越多的SOC客戶對(duì)實(shí)用化的要求也大大提高。

3     SOC產(chǎn)品底層技術(shù)要求

一款優(yōu)秀的SOC產(chǎn)品是實(shí)用化的基礎(chǔ)，它的能力直接關(guān)系到在SOC運(yùn)維和使用過程中系統(tǒng)的穩(wěn)定性、查詢分析所耗費(fèi)的時(shí)間、智能威脅檢測(cè)的深度以及監(jiān)控風(fēng)險(xiǎn)的準(zhǔn)確性等問題。

3.1  大數(shù)據(jù)查詢

面對(duì)現(xiàn)今越來越龐大的信息數(shù)據(jù)集合，傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)早已不堪重負(fù)。做為SOC安全分析與審計(jì)的最為重要的工具-日志的查詢和分析，查詢的效率直接影響到安全分析人員的工作效率。

3.2  關(guān)聯(lián)分析引擎

關(guān)聯(lián)分析引擎是SOC的核心所在，如同×××的引擎一樣會(huì)直接影響×××手技術(shù)能力發(fā)揮，關(guān)聯(lián)分析引擎的效率和功能也直接決定了SOC對(duì)風(fēng)險(xiǎn)事件的檢測(cè)能力。

一款優(yōu)秀的關(guān)聯(lián)分析引擎，除了要能夠在高強(qiáng)度的日志分析過程中，保證引擎自身運(yùn)行的高速、實(shí)時(shí)和穩(wěn)定。還要求了對(duì)邏輯條件編寫的靈活性，日志字段間數(shù)值的比對(duì)、計(jì)算與判斷，各類資產(chǎn)、過濾器、表單數(shù)據(jù)的引用和輸出等功能。

3.3  深度日志范式化

日志范式化工作是所有SOC廠商必做的一項(xiàng)工作，也是關(guān)系SOC日志可讀性和關(guān)聯(lián)分析的基礎(chǔ)所在。最為關(guān)鍵的內(nèi)容涉及了定義***對(duì)象、***技術(shù)、風(fēng)險(xiǎn)性質(zhì)、操作、結(jié)果等字段內(nèi)容的補(bǔ)全。日志語(yǔ)義定義的準(zhǔn)確、完整可以省去安全分析工程師在關(guān)聯(lián)分析和日志審計(jì)中的工作壓力。

但是此項(xiàng)工作也是日志范式化過程中難度最大也最為耗人、耗時(shí)的部分，需要投入大量的安全專家進(jìn)行日志的研究，并根據(jù)相應(yīng)的日志分類標(biāo)準(zhǔn)對(duì)SOC支持的所有設(shè)備的每一條日志，進(jìn)行分類和審核。因此很多SOC廠商都刻意的避開此部分內(nèi)容，或是使用比較粗的分類、機(jī)器學(xué)習(xí)等方式完成此工作。

4     安全威脅檢測(cè)模型

4.1  安全威脅檢測(cè)模型架構(gòu)

安全威脅檢測(cè)模型是SOC關(guān)聯(lián)分析檢測(cè)的基礎(chǔ)框架，只有嚴(yán)格按照安全威脅檢測(cè)模型部署SOC，才能夠?qū)OC諸多核心功能關(guān)聯(lián)起來形成一個(gè)完整的系統(tǒng)。主要內(nèi)容包括關(guān)聯(lián)引用以及層級(jí)結(jié)構(gòu)，例如“用戶資產(chǎn)、檢測(cè)規(guī)則、動(dòng)態(tài)威脅庫(kù)、過濾器、告警系統(tǒng)等”。

4.2  威脅場(chǎng)景庫(kù)

威脅場(chǎng)景庫(kù)是編寫檢測(cè)規(guī)則的案例來源。它將現(xiàn)實(shí)客戶環(huán)境中遇到的***案例和***實(shí)驗(yàn)實(shí)中研究的新型***成果，以文字的方式記錄并研究其特征和行為，并轉(zhuǎn)換成檢測(cè)規(guī)則用于現(xiàn)實(shí)環(huán)境。

威脅場(chǎng)景庫(kù)的實(shí)踐和積累直接影響檢測(cè)規(guī)則的數(shù)量與質(zhì)量，決定了SOC實(shí)用化成果的優(yōu)劣。

4.3  威脅情報(bào)的來源與使用

威脅情報(bào)在SOC實(shí)用化中可分為外部威脅情報(bào)與內(nèi)部威脅情報(bào)。兩都同樣都可接入安全威脅檢測(cè)模型中被關(guān)聯(lián)分析引擎引用，能大幅度提升安全事件測(cè)試的精準(zhǔn)度，減少誤報(bào)。

外部威脅情報(bào)來源于威脅情報(bào)服務(wù)提供商，優(yōu)點(diǎn)是來源廣、信息面全，缺點(diǎn)對(duì)于客戶也同樣明顯，命中率太低。如需解決這一問題，需要使用極為精細(xì)的過濾機(jī)制，以***類別、資產(chǎn)、脆弱性、對(duì)象等內(nèi)容進(jìn)行定義，再分散到安全威脅檢測(cè)模型中用于檢測(cè)規(guī)則。

內(nèi)部威脅情報(bào)主要來自于客戶的黑白名單與動(dòng)態(tài)威脅庫(kù)。動(dòng)態(tài)威脅庫(kù)可以對(duì)***事件的信息進(jìn)行抽取，將這些關(guān)鍵信息加入數(shù)據(jù)表中進(jìn)行更新與處理，并將這些***信息用于高級(jí)威脅檢測(cè)與事后審計(jì)和分析中。

5     SOC安全的展示與交付

SOC展示與技術(shù)支持是SOC運(yùn)維中必不可少的一個(gè)環(huán)節(jié)。即使客戶的SOC建設(shè)實(shí)現(xiàn)了智能化，但是一旦涉及，資產(chǎn)的變更，新的安全***，安全策略的調(diào)整等方面。必不可少的需要可管理安全服務(wù)提供商的支持，安全是一個(gè)不斷更新和建設(shè)的過程，SOC安全運(yùn)維也不例外。

5.1  展示平臺(tái)

SOC是一套非常復(fù)雜的系統(tǒng)，即使是有一定安全分析經(jīng)驗(yàn)的工程師也需要數(shù)月到數(shù)年的時(shí)間學(xué)習(xí)，才能從會(huì)使用到精通。要大多數(shù)客戶學(xué)會(huì)使用并認(rèn)可SOC，顯然不太現(xiàn)實(shí)。

為了更好的提高客戶對(duì)SOC的認(rèn)可度，則需要一套基于SOC二次開發(fā)的展示平臺(tái)，將關(guān)聯(lián)分析后的結(jié)果更智能更簡(jiǎn)單的展示給客戶，從而代替客戶的SOC定制化開發(fā)工作。展示結(jié)果應(yīng)該以關(guān)聯(lián)事件為數(shù)據(jù)源，內(nèi)容包括態(tài)勢(shì)感知、多維度多類型的風(fēng)險(xiǎn)趨勢(shì)統(tǒng)計(jì)、告警事件詳情與證據(jù)鏈等。

5.2  報(bào)告系統(tǒng)

SOC實(shí)用化成果得到認(rèn)可后，客戶對(duì)報(bào)告的要求會(huì)隨之提升。報(bào)告的定制化和自動(dòng)化包含面會(huì)涉及到客戶的各部門，甚至各崗位。此時(shí)SOC報(bào)告系統(tǒng)的定制化功能會(huì)直接關(guān)系到與客戶的粘稠度。

5.3  智能告警平臺(tái)

智能告警功能是SOC平臺(tái)的必要功能，原則上是能以多種方式通知客戶所監(jiān)控到的風(fēng)險(xiǎn)警報(bào)，例如，郵件、微信、短信等。但是，如何控制好警報(bào)數(shù)量，將安全事件詳情、事件描述、建議等信息，分階段智能化的發(fā)送客戶，則是此項(xiàng)技術(shù)的難點(diǎn)。

5.4  知識(shí)庫(kù)

知識(shí)庫(kù)與威脅場(chǎng)景庫(kù)配套，是實(shí)現(xiàn)智能化展示平臺(tái)、定制化報(bào)告與智能告警的基礎(chǔ)。除此之外，配套的知識(shí)庫(kù)還能夠?qū)崿F(xiàn)安全專家經(jīng)驗(yàn)的可復(fù)制性，即將安全專家分析處理同類風(fēng)險(xiǎn)的過程與方法輸入知識(shí)庫(kù)中，供初級(jí)安全分析員參考和使用。在安全運(yùn)營(yíng)中基于標(biāo)準(zhǔn)流程和SLA，實(shí)現(xiàn)快速響應(yīng)和風(fēng)險(xiǎn)處理。

5.5  SOC安全代運(yùn)維服務(wù)支持

歐美國(guó)家絕大多數(shù)的SOC運(yùn)維，都是由專業(yè)的可管理安全服務(wù)提供商來做的。國(guó)外在SOC大范圍的運(yùn)維使用中，可管理安全服務(wù)提供商研究和積累了大量的最佳實(shí)踐，并且相關(guān)的運(yùn)維標(biāo)準(zhǔn)、實(shí)時(shí)響應(yīng)機(jī)制、SLA等都是經(jīng)過ISO認(rèn)證。安全分析團(tuán)隊(duì)的經(jīng)驗(yàn)、應(yīng)急支持能力和實(shí)用化都已經(jīng)非常成熟。

選擇一個(gè)具備豐富安全運(yùn)維經(jīng)驗(yàn)的可管理安全服務(wù)提供商，是保障客戶SOC實(shí)用化成果和風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控和響應(yīng)的必要條件。