新一代國產(chǎn)SOC的實用化建設

1      概述

信息安全免疫力低下是我國信息安全的基本現(xiàn)狀，因為我國對于安全威脅的檢測和處理方式仍然位于人工檢測+事后審計處理的階段。此種方式對比現(xiàn)今大數(shù)據(jù)的應用、APT***等技術手段，人工審查風險的方式已經(jīng)相當落后，在國際上處于被動挨打的狀態(tài)?，F(xiàn)今***產(chǎn)業(yè)化與APT***國際化已經(jīng)成型，信息安全關乎國家安全，如果我們的命門掌握在他人之手，套路盡在別人掌控，這對于信息安全是極大的威脅。在此等形勢下，迫切需要發(fā)展本土智能化、高性能、高準確性的SOC體系“安全運營中心”來對抗上述風險。

SOC在國內(nèi)的發(fā)展和應用相對落后，普遍被當成軟件產(chǎn)品來銷售，而SOC實用化還處于理論階段?，F(xiàn)今國內(nèi)絕大多數(shù)SOC都被當成SIEM日志集中收集和管理來用，而最為核心的關聯(lián)分析和風險監(jiān)控（SOC安全代運維服務或稱之為可管理安全服務）還處于初級階段。此種畸形的狀況是由于國內(nèi)體制、政策、應用環(huán)境、傳統(tǒng)認識、歐美對SOC技術的封鎖等原因的制約，才迫使國內(nèi)的SOC一直得不到進步與發(fā)展。

現(xiàn)今建設一套智能化、高可用性的SOC系統(tǒng)，必需具備強大的SOC產(chǎn)品、實時準確的威脅情報以及專業(yè)的SOC安全代運維服務，具體內(nèi)容如下。

1. 1.   基于大數(shù)據(jù)技術高性能、關聯(lián)分析引擎強大的SOC產(chǎn)品；

2. 2.   SOC安全威脅檢測模型；

3. 3.   來自外/內(nèi)部的威脅情報；

4. 4.   簡單易懂的風險展示平臺、智能告警平臺和強大的報告系統(tǒng)；

2     泰合計劃

在今年四月份啟明星辰對外正式發(fā)布了泰合安全威脅分析合作計劃，并宣布了包括可管理安全服務提供商-諾恒信息、威脅情報服務提供商-天際友盟和微步在線、安全威脅情報聯(lián)盟-烽火臺在內(nèi)的首批合作伙伴，引領SOC安管平臺開放、連接、協(xié)同的發(fā)展大趨勢。

這一信號表明，國內(nèi)的SOC已經(jīng)從單一的賣產(chǎn)品，開始轉變成SOC產(chǎn)品＋MSS服務＋威脅情報的方式來實現(xiàn)SOC實用化的交付。這也證實了國內(nèi)越來越多的SOC客戶對實用化的要求也大大提高。

3     SOC產(chǎn)品底層技術要求

一款優(yōu)秀的SOC產(chǎn)品是實用化的基礎，它的能力直接關系到在SOC運維和使用過程中系統(tǒng)的穩(wěn)定性、查詢分析所耗費的時間、智能威脅檢測的深度以及監(jiān)控風險的準確性等問題。

3.1  大數(shù)據(jù)查詢

面對現(xiàn)今越來越龐大的信息數(shù)據(jù)集合，傳統(tǒng)關系型數(shù)據(jù)庫早已不堪重負。做為SOC安全分析與審計的最為重要的工具-日志的查詢和分析，查詢的效率直接影響到安全分析人員的工作效率。

3.2  關聯(lián)分析引擎

關聯(lián)分析引擎是SOC的核心所在，如同×××的引擎一樣會直接影響×××手技術能力發(fā)揮，關聯(lián)分析引擎的效率和功能也直接決定了SOC對風險事件的檢測能力。

一款優(yōu)秀的關聯(lián)分析引擎，除了要能夠在高強度的日志分析過程中，保證引擎自身運行的高速、實時和穩(wěn)定。還要求了對邏輯條件編寫的靈活性，日志字段間數(shù)值的比對、計算與判斷，各類資產(chǎn)、過濾器、表單數(shù)據(jù)的引用和輸出等功能。

3.3   深度日志范式化

日志范式化工作是所有SOC廠商必做的一項工作，也是關系SOC日志可讀性和關聯(lián)分析的基礎所在。最為關鍵的內(nèi)容涉及了定義***對象、***技術、風險性質、操作、結果等字段內(nèi)容的補全。日志語義定義的準確、完整可以省去安全分析工程師在關聯(lián)分析和日志審計中的工作壓力。

但是此項工作也是日志范式化過程中難度最大也最為耗人、耗時的部分，需要投入大量的安全專家進行日志的研究，并根據(jù)相應的日志分類標準對SOC支持的所有設備的每一條日志，進行分類和審核。因此很多SOC廠商都刻意的避開此部分內(nèi)容，或是使用比較粗的分類、機器學習等方式完成此工作。

4     安全威脅檢測模型

4.1  安全威脅檢測模型架構

安全威脅檢測模型是SOC關聯(lián)分析檢測的基礎框架，只有嚴格按照安全威脅檢測模型部署SOC，才能夠將SOC諸多核心功能關聯(lián)起來形成一個完整的系統(tǒng)。主要內(nèi)容包括關聯(lián)引用以及層級結構，例如“用戶資產(chǎn)、檢測規(guī)則、動態(tài)威脅庫、過濾器、告警系統(tǒng)等”。

4.2  威脅場景庫

威脅場景庫是編寫檢測規(guī)則的案例來源。它將現(xiàn)實客戶環(huán)境中遇到的***案例和***實驗實中研究的新型***成果，以文字的方式記錄并研究其特征和行為，并轉換成檢測規(guī)則用于現(xiàn)實環(huán)境。

威脅場景庫的實踐和積累直接影響檢測規(guī)則的數(shù)量與質量，決定了SOC實用化成果的優(yōu)劣。

4.3  威脅情報的來源與使用

威脅情報在SOC實用化中可分為外部威脅情報與內(nèi)部威脅情報。兩都同樣都可接入安全威脅檢測模型中被關聯(lián)分析引擎引用，能大幅度提升安全事件測試的精準度，減少誤報。

外部威脅情報來源于威脅情報服務提供商，優(yōu)點是來源廣、信息面全，缺點對于客戶也同樣明顯，命中率太低。如需解決這一問題，需要使用極為精細的過濾機制，以***類別、資產(chǎn)、脆弱性、對象等內(nèi)容進行定義，再分散到安全威脅檢測模型中用于檢測規(guī)則。

內(nèi)部威脅情報主要來自于客戶的黑白名單與動態(tài)威脅庫。動態(tài)威脅庫可以對***事件的信息進行抽取，將這些關鍵信息加入數(shù)據(jù)表中進行更新與處理，并將這些***信息用于高級威脅檢測與事后審計和分析中。

5     SOC安全的展示與交付

SOC展示與技術支持是SOC運維中必不可少的一個環(huán)節(jié)。即使客戶的SOC建設實現(xiàn)了智能化，但是一旦涉及，資產(chǎn)的變更，新的安全***，安全策略的調(diào)整等方面。必不可少的需要可管理安全服務提供商的支持，安全是一個不斷更新和建設的過程，SOC安全運維也不例外。

5.1  展示平臺

SOC是一套非常復雜的系統(tǒng)，即使是有一定安全分析經(jīng)驗的工程師也需要數(shù)月到數(shù)年的時間學習，才能從會使用到精通。要大多數(shù)客戶學會使用并認可SOC，顯然不太現(xiàn)實。

為了更好的提高客戶對SOC的認可度，則需要一套基于SOC二次開發(fā)的展示平臺，將關聯(lián)分析后的結果更智能更簡單的展示給客戶，從而代替客戶的SOC定制化開發(fā)工作。展示結果應該以關聯(lián)事件為數(shù)據(jù)源，內(nèi)容包括態(tài)勢感知、多維度多類型的風險趨勢統(tǒng)計、告警事件詳情與證據(jù)鏈等。

5.2  報告系統(tǒng)

SOC實用化成果得到認可后，客戶對報告的要求會隨之提升。報告的定制化和自動化包含面會涉及到客戶的各部門，甚至各崗位。此時SOC報告系統(tǒng)的定制化功能會直接關系到與客戶的粘稠度。

5.3  智能告警平臺

智能告警功能是SOC平臺的必要功能，原則上是能以多種方式通知客戶所監(jiān)控到的風險警報，例如，郵件、微信、短信等。但是，如何控制好警報數(shù)量，將安全事件詳情、事件描述、建議等信息，分階段智能化的發(fā)送客戶，則是此項技術的難點。

5.4  知識庫

知識庫與威脅場景庫配套，是實現(xiàn)智能化展示平臺、定制化報告與智能告警的基礎。除此之外，配套的知識庫還能夠實現(xiàn)安全專家經(jīng)驗的可復制性，即將安全專家分析處理同類風險的過程與方法輸入知識庫中，供初級安全分析員參考和使用。在安全運營中基于標準流程和SLA，實現(xiàn)快速響應和風險處理。

5.5  SOC安全代運維服務支持

歐美國家絕大多數(shù)的SOC運維，都是由專業(yè)的可管理安全服務提供商來做的。國外在SOC大范圍的運維使用中，可管理安全服務提供商研究和積累了大量的最佳實踐，并且相關的運維標準、實時響應機制、SLA等都是經(jīng)過ISO認證。安全分析團隊的經(jīng)驗、應急支持能力和實用化都已經(jīng)非常成熟。

選擇一個具備豐富安全運維經(jīng)驗的可管理安全服務提供商，是保障客戶SOC實用化成果和風險實時監(jiān)控和響應的必要條件。