SIEM、SOC、MSS三者的區(qū)別與聯(lián)系

SIEM、SOC、MSS三者的區(qū)別與聯(lián)系

前言

SIEM和SOC在國(guó)內(nèi)并不是一個(gè)新興的名詞，相反在國(guó)內(nèi)安全圈內(nèi)經(jīng)過(guò)了10余年的掙扎，SIEM已經(jīng)趨于成熟，但是SOC仍處于一個(gè)雞肋的位置，我認(rèn)為其主要原因在SOC受制于國(guó)內(nèi)體制、政策、相關(guān)日志標(biāo)準(zhǔn)、應(yīng)用環(huán)境、傳統(tǒng)認(rèn)識(shí)的制約，從而它在國(guó)內(nèi)一開(kāi)始就是以產(chǎn)品的方式出現(xiàn)。缺少了MSS的輔助SOC就像是要求汽車駕駛員去駕駛維護(hù)飛機(jī)，這也是國(guó)內(nèi)SOC一直無(wú)法用起來(lái)的主要原因。

而以SOC為基礎(chǔ)的MSS（可管理安全服務(wù)）一直無(wú)法發(fā)展?fàn)畲蟮脑蛴卸?/span>

1. 歐美國(guó)家對(duì)MSS服務(wù)的技術(shù)封鎖。

提供MSS服務(wù)要求擁有相當(dāng)經(jīng)驗(yàn)高級(jí)安全分析專家、完整的SOC運(yùn)維團(tuán)隊(duì)；標(biāo)準(zhǔn)的安全事件響應(yīng)與處理流程、SLA；成熟的信息安全檢測(cè)模型、威脅場(chǎng)景庫(kù)；精確的警報(bào)系統(tǒng)、報(bào)告系統(tǒng)。學(xué)習(xí)和建立這一套服務(wù)體系不光要耗費(fèi)大量的金錢、時(shí)間與人力，還需要海量的運(yùn)營(yíng)資源來(lái)實(shí)踐，可見(jiàn)要拉出一支這樣的團(tuán)隊(duì)實(shí)屬不易。

1. 高昂的人力成本與客戶現(xiàn)場(chǎng)運(yùn)維相沖突。

做到以上MSS服務(wù)的要求需要的成本非常高昂，這就意味是如果要使其商業(yè)化最好的方式是集中式管理運(yùn)營(yíng)，這點(diǎn)與國(guó)內(nèi)高端客戶普遍要求服務(wù)商在現(xiàn)場(chǎng)運(yùn)維是相沖突的。歐美國(guó)家的MSS服務(wù)之所以盛行，其原因是其相關(guān)信息安全標(biāo)準(zhǔn)已經(jīng)非常成熟，國(guó)家與商業(yè)機(jī)構(gòu)都已經(jīng)普遍執(zhí)行并認(rèn)可，所以MSS所要求的日志外傳+集中式管理運(yùn)營(yíng)（安全日志代運(yùn)維）得到了接受和認(rèn)可。

• 什么是SIEM

SIEM (安全信息和事件管理)是軟件和服務(wù)的組合，是SIM（安全信息管理）和SEM（安全事件管理）的融合體。兩者的區(qū)別在 于SEM側(cè)重于實(shí)時(shí)監(jiān)控和事件處理方面，SIM側(cè)重歷史日志分析和取證方面。SIEM為來(lái)自企業(yè)和組織中所有IT資源（包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用）產(chǎn)生的安全信息（包括日志、告警等）進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析，對(duì)來(lái)自外部的***和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告，實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo)，同時(shí)提升企業(yè)和組織的安全運(yùn)營(yíng)、威脅管理和應(yīng)急響應(yīng)能力。

• 什么是SOC

SOC（安全運(yùn)營(yíng)中心）來(lái)源于NOC（網(wǎng)絡(luò)運(yùn)營(yíng)中心）。

隨著信息安全問(wèn)題的日益突出，安全管理理論與技術(shù)的不斷發(fā)展，需要從安全的角度去管理整個(gè)網(wǎng)絡(luò)和系統(tǒng)，而傳統(tǒng)的NOC在這方面缺少技術(shù)支撐，于是，出現(xiàn)了SOC的概念。

目前所說(shuō)的SOC是SOC 1.0階段，只是在SOC的核心部件SIEM的買賣，國(guó)外所說(shuō)的SOC是一個(gè)復(fù)雜的系統(tǒng)，它使用SIEM產(chǎn)品進(jìn)行運(yùn)維又以此向客戶提供服務(wù)，也就是我們所說(shuō)的SOC 2.0/MSS。

SOC(安全運(yùn)營(yíng)中心)是以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件及風(fēng)險(xiǎn)分析，預(yù)警管理，應(yīng)急響應(yīng)的集中安全管理系統(tǒng)。

SOC是一個(gè)復(fù)雜的系統(tǒng)，它既有產(chǎn)品，又有服務(wù)，還有運(yùn)維，SOC是技術(shù)、流程和人的有機(jī)結(jié)合。

• 什么是MSS

MSS（可管理安全服務(wù)）是由專業(yè)的MSSP（可管理安全服務(wù)提供商）提供的安全運(yùn)維外包服務(wù)。

   MSS可為客戶帶來(lái)以下收益。

     1.降低成本：人員配置，技能要求，場(chǎng)地需求。

     2. 全天候監(jiān)控：7×24的監(jiān)控服務(wù)。

     3. 風(fēng)險(xiǎn)監(jiān)控：有效監(jiān)控安全風(fēng)險(xiǎn)，第一時(shí)間提供解決方案。

     4. 發(fā)現(xiàn)和解決問(wèn)題：及時(shí)發(fā)現(xiàn)和解決可能存在的安全問(wèn)題。

     5.趨勢(shì)分析：專業(yè)的安全趨勢(shì)分析，月、季、年安全分析報(bào)告。

     6.日志存儲(chǔ)和查詢：日志有效存儲(chǔ)和備份、快速查詢定位。

• SIEM、SOC和MSS的區(qū)別與關(guān)聯(lián)

SIEM側(cè)重于日志的集中式管理和審計(jì)，SOC則用于安全日志的分析和安全風(fēng)險(xiǎn)的監(jiān)控與定位。兩者的側(cè)重點(diǎn)不同決定了，SIEM可以用產(chǎn)品來(lái)交附而SOC則必需加入MSS服務(wù)的人工干預(yù)來(lái)完善。

對(duì)于兩者之間的區(qū)別，SIEM只做到了傳統(tǒng)的安全日志數(shù)量統(tǒng)計(jì)，SOC+MSS則是對(duì)安全日志重定義并生成新的安全事件，實(shí)現(xiàn)對(duì)安全日志的歸并、過(guò)濾與威脅定級(jí)，將安全警報(bào)量化。例如，A公司受到***的DDoS***,15分鐘內(nèi)收到了20W條相關(guān)的安全日志。SIEM報(bào)給客戶的報(bào)警為20W條，而SOC報(bào)給客戶的報(bào)警為1條，顯然在安全風(fēng)險(xiǎn)管理的角度上來(lái)看，SIEM的計(jì)數(shù)方式是不科學(xué)的。

MSS服務(wù)結(jié)合SOC則能做到智能化監(jiān)控、分析、預(yù)警服務(wù)，改變過(guò)往自行維護(hù)繁復(fù)的安全信息與事件管理平臺(tái)的習(xí)慣，摒棄安全信息與事件管理平臺(tái)的復(fù)雜化，從管理的簡(jiǎn)易性、事件呈現(xiàn)、事件處理等角度提供解決方案，可以通過(guò)門戶網(wǎng)站的模式獲得所關(guān)心的內(nèi)容，同時(shí)也可以在指定時(shí)間內(nèi)通過(guò)電話等多種形式得到安全響應(yīng)和相應(yīng)的安全解決方案，在門戶網(wǎng)站上也能得到更加詳細(xì)的解決方案內(nèi)容。