溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
信息安全免疫力低下是我國信息安全的基本現狀,因為我國對于安全威脅的檢測和處理方式仍然位于人工檢測+事后審計處理的階段。此種方式對比現今大數據的應用、APT***等技術手段,人工審查風險的方式已經相當落后,在國際上處于被動挨打的狀態。現今***產業化與APT***國際化已經成型,信息安全關乎國家安全,如果我們的命門掌握在他人之手,套路盡在別人掌控,這對于信息安全是極大的威脅。在此等形勢下,迫切需要發展本土智能化、高性能、高準確性的SOC體系“安全運營中心”來對抗上述風險。
SOC在國內的發展和應用相對落后,普遍被當成軟件產品來銷售,而SOC實用化還處于理論階段。現今國內絕大多數SOC都被當成SIEM日志集中收集和管理來用,而最為核心的關聯分析和風險監控(SOC安全代運維服務或稱之為可管理安全服務)還處于初級階段。此種畸形的狀況是由于國內體制、政策、應用環境、傳統認識、歐美對SOC技術的封鎖等原因的制約,才迫使國內的SOC一直得不到進步與發展。
現今建設一套智能化、高可用性的SOC系統,必需具備強大的SOC產品、實時準確的威脅情報以及專業的SOC安全代運維服務,具體內容如下。
1. 基于大數據技術高性能、關聯分析引擎強大的SOC產品;
2. SOC安全威脅檢測模型;
3. 來自外/內部的威脅情報;
4. 簡單易懂的風險展示平臺、智能告警平臺和強大的報告系統;
在今年四月份啟明星辰對外正式發布了泰合安全威脅分析合作計劃,并宣布了包括可管理安全服務提供商-諾恒信息、威脅情報服務提供商-天際友盟和微步在線、安全威脅情報聯盟-烽火臺在內的首批合作伙伴,引領SOC安管平臺開放、連接、協同的發展大趨勢。
這一信號表明,國內的SOC已經從單一的賣產品,開始轉變成SOC產品+MSS服務+威脅情報的方式來實現SOC實用化的交付。這也證實了國內越來越多的SOC客戶對實用化的要求也大大提高。
一款優秀的SOC產品是實用化的基礎,它的能力直接關系到在SOC運維和使用過程中系統的穩定性、查詢分析所耗費的時間、智能威脅檢測的深度以及監控風險的準確性等問題。
面對現今越來越龐大的信息數據集合,傳統關系型數據庫早已不堪重負。做為SOC安全分析與審計的最為重要的工具-日志的查詢和分析,查詢的效率直接影響到安全分析人員的工作效率。
關聯分析引擎是SOC的核心所在,如同×××的引擎一樣會直接影響×××手技術能力發揮,關聯分析引擎的效率和功能也直接決定了SOC對風險事件的檢測能力。
一款優秀的關聯分析引擎,除了要能夠在高強度的日志分析過程中,保證引擎自身運行的高速、實時和穩定。還要求了對邏輯條件編寫的靈活性,日志字段間數值的比對、計算與判斷,各類資產、過濾器、表單數據的引用和輸出等功能。
日志范式化工作是所有SOC廠商必做的一項工作,也是關系SOC日志可讀性和關聯分析的基礎所在。最為關鍵的內容涉及了定義***對象、***技術、風險性質、操作、結果等字段內容的補全。日志語義定義的準確、完整可以省去安全分析工程師在關聯分析和日志審計中的工作壓力。
但是此項工作也是日志范式化過程中難度最大也最為耗人、耗時的部分,需要投入大量的安全專家進行日志的研究,并根據相應的日志分類標準對SOC支持的所有設備的每一條日志,進行分類和審核。因此很多SOC廠商都刻意的避開此部分內容,或是使用比較粗的分類、機器學習等方式完成此工作。
安全威脅檢測模型是SOC關聯分析檢測的基礎框架,只有嚴格按照安全威脅檢測模型部署SOC,才能夠將SOC諸多核心功能關聯起來形成一個完整的系統。主要內容包括關聯引用以及層級結構,例如“用戶資產、檢測規則、動態威脅庫、過濾器、告警系統等”。
威脅場景庫是編寫檢測規則的案例來源。它將現實客戶環境中遇到的***案例和***實驗實中研究的新型***成果,以文字的方式記錄并研究其特征和行為,并轉換成檢測規則用于現實環境。
威脅場景庫的實踐和積累直接影響檢測規則的數量與質量,決定了SOC實用化成果的優劣。
威脅情報在SOC實用化中可分為外部威脅情報與內部威脅情報。兩都同樣都可接入安全威脅檢測模型中被關聯分析引擎引用,能大幅度提升安全事件測試的精準度,減少誤報。
外部威脅情報來源于威脅情報服務提供商,優點是來源廣、信息面全,缺點對于客戶也同樣明顯,命中率太低。如需解決這一問題,需要使用極為精細的過濾機制,以***類別、資產、脆弱性、對象等內容進行定義,再分散到安全威脅檢測模型中用于檢測規則。
內部威脅情報主要來自于客戶的黑白名單與動態威脅庫。動態威脅庫可以對***事件的信息進行抽取,將這些關鍵信息加入數據表中進行更新與處理,并將這些***信息用于高級威脅檢測與事后審計和分析中。
SOC展示與技術支持是SOC運維中必不可少的一個環節。即使客戶的SOC建設實現了智能化,但是一旦涉及,資產的變更,新的安全***,安全策略的調整等方面。必不可少的需要可管理安全服務提供商的支持,安全是一個不斷更新和建設的過程,SOC安全運維也不例外。
SOC是一套非常復雜的系統,即使是有一定安全分析經驗的工程師也需要數月到數年的時間學習,才能從會使用到精通。要大多數客戶學會使用并認可SOC,顯然不太現實。
為了更好的提高客戶對SOC的認可度,則需要一套基于SOC二次開發的展示平臺,將關聯分析后的結果更智能更簡單的展示給客戶,從而代替客戶的SOC定制化開發工作。展示結果應該以關聯事件為數據源,內容包括態勢感知、多維度多類型的風險趨勢統計、告警事件詳情與證據鏈等。
SOC實用化成果得到認可后,客戶對報告的要求會隨之提升。報告的定制化和自動化包含面會涉及到客戶的各部門,甚至各崗位。此時SOC報告系統的定制化功能會直接關系到與客戶的粘稠度。
智能告警功能是SOC平臺的必要功能,原則上是能以多種方式通知客戶所監控到的風險警報,例如,郵件、微信、短信等。但是,如何控制好警報數量,將安全事件詳情、事件描述、建議等信息,分階段智能化的發送客戶,則是此項技術的難點。
知識庫與威脅場景庫配套,是實現智能化展示平臺、定制化報告與智能告警的基礎。除此之外,配套的知識庫還能夠實現安全專家經驗的可復制性,即將安全專家分析處理同類風險的過程與方法輸入知識庫中,供初級安全分析員參考和使用。在安全運營中基于標準流程和SLA,實現快速響應和風險處理。
歐美國家絕大多數的SOC運維,都是由專業的可管理安全服務提供商來做的。國外在SOC大范圍的運維使用中,可管理安全服務提供商研究和積累了大量的最佳實踐,并且相關的運維標準、實時響應機制、SLA等都是經過ISO認證。安全分析團隊的經驗、應急支持能力和實用化都已經非常成熟。
選擇一個具備豐富安全運維經驗的可管理安全服務提供商,是保障客戶SOC實用化成果和風險實時監控和響應的必要條件。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
