自己开个网站,中山做网站服务好,一个企业网站多少钱,网站不同颜色几乎所有大型企业或机构的IT系统中#xff0c;都会有安全运营中心(SOC)#xff0c;它是网络安全防护体系从设备部署到系统建设#xff0c;再到统一管理#xff0c;这一发展过程的自然产物。但在国内的实际应用中#xff0c;SOC的问题多多。 首先是数据类型不全#xff0c… 几乎所有大型企业或机构的IT系统中都会有安全运营中心(SOC)它是网络安全防护体系从设备部署到系统建设再到统一管理这一发展过程的自然产物。但在国内的实际应用中SOC的问题多多。 首先是数据类型不全主要为各种网络和安全设备推出的大量日志和告警数据再者不具备海量大数据存储分析和处理的能力最后是专业安全人才的匮乏。这些问题均导致安全运维或分析人员疲于应付很难从中发现真正的异常网络行为最终令SOC名存实亡。 那么问题来了如何改变传统SOC的种种弊端所谓的下一代SOC又是怎样呢 就在中秋节前夕360企业安全发布了新一代态势感知及安全运营平台NGSOC。下面我们就来看一看这款在360企业安全产品线中有着“大脑”和“眼睛”地位的NGSOC。 区别于传统SOC的三大特点 大数据数据驱动安全的理念已得到业界的广泛认可。除了360本身拥有的云端大数据平台以外360 NGSOC 最重要的特点之一就是本地全量数据的采集和分析。 360云端大数据平台拥有的数据 样本库100亿安全日志18万亿DNS解析记录100亿补天漏洞平台漏洞10万安全防护体系的一个关键基础就是持续的监测和分析能力而这种能力基础则来自于各个层面或各个维度的数据积累。这些层面或维度包括了终端、网络、应用、系统甚至是与人有关的数据。把之前这些各自独立的条状数据关联在一起成为块状数据并结合不同的时间维度事前、事中、事后通过分布式、大数据量存储和快速计算去进行计算和关联分析才能真正看到传统SOC所看不见的安全问题最终形成一个由数据驱动的纵深防御体系。 威胁情报在威胁发现方面NGSOC基于的是情报规则关联机器学习统计行为分析的方法而不仅仅是简单的规则关联引擎。这种新型的情报触发方式需要的是复杂的关联调查分析传统的SOC产品非常难做到这一点。 例如在做本地关联分析的时候需要了解攻击在不同主机和服务器之间的关联性不仅要对本地日志进行快速检索云端的威胁情报也必不可少。这时就可通过360威胁情报中心的海量数据从样本、运维、系统等各个角度查找其关联性结合本地数据回溯攻击过程快速地对攻击进行鉴定。简单的说就是以多维度数据为基础结合云端大数据平台产生的高价值威胁情报即云地协同来真正帮助客户精准命中高级威胁。 “结合大数据分析平台和威胁情报支持将是SOC产品的未来方向。”——360企业安全集团董事长齐向东 智慧协同有着“大脑”和“眼睛”之中枢地位的NGSOC需要与手脚或皮肤联动起来即360的终端天擎和防火墙天堤形成智慧协同。 整个NGSOC平台从最底层的一手数据采集到大数据平台上的数据存储、处理和计算再到利用各种工具和引擎进行深入的安全分析最后发出告警并实施响应。这里的关键在于与终端检测响应(EDR)和网络检测响应(NDR)的协同联动。 从大数据分析平台出来的告警和策略会通过终端、防火墙的系统策略下发。传统的响应处置只是策略下发是非自动化的还需要进行非常复杂的各种产品配置。NGSOC则可与EDR和NDR做联动包括对云端服务的一键求助可快速发现并快速处置问题。 智慧联动还有一层意思即开放API接口使得第三方运维团队或第三方安全服务团队也能够基于这个数据平台开发应用有利于整体安全态势感知的呈现辅助管理层的决策。 “安全协同能力不论在数据、智能还是产业层面是’安全大数据’背景下的必然产物也是从传统安全向下一代安全的演进的重要能力。”——360企业安全集团副总裁韩永刚 NGSOC VS 传统SOC 谈谈态势感知 360此次发布的产品名为“新一代态势感知及安全运营平台”因此发布会后记者就此问题采访了360企业安全总裁吴云坤。 态势感知的价值所在首先是主管机构的管理要求。如网信办要看整个互联网地方公安要看整个城市税务或金融要看整个行业。主管或监管部门要知道整体情况进行绩效考核、协查通报等都可以以此为基础。 再者就是辅助决策。例如把过去十年所有某地区的高级威胁入侵方式和攻击路径、手法放在一起可以发现攻击组织能力的变更。可以看出它最早使用的工具通过谁控制的谁。随着重要活动或事件的发展不管是一带一路、奥运会还是G20了解它的下一步目标是什么应该怎么去防护等等这些信息通过态势感知是可以发现的。 态势感知的关键点做好态势感知的基础是数据包括各种维度的数据。如流量数据、样本数据、漏洞数据最近流行什么恶意软件发现什么漏洞利用等通过观察这些数据态势或趋势就在其中。但这些也只是技术性态势属于战术级的对领导决策作用不大。因此需要数据的理解和提升形成情报。如事件的背后组织是谁用的什么手法什么时候攻击什么人最终描绘出整个组织。 所谓对数据的理解是从个体基因者到家族基因再到组织基因的分析和辨别。 攻击目标一般分为两类一类是普通人一类是政府机构。前者属于民生最大的问题就是诈骗涉及到伪基站短信、恶意应用、非法应用等。当发现某些态势如诈骗手法的改变时去做及时预警。后者是和国家社会安全相关的对电厂、交通、能源等基础设施的破坏对科技、军事情报的窃取等这些都是态势感知的关键点。 态势感知面临的挑战实际上市场上许多态势感知系统并没有产生非常有效的作用。地方公安系统需要的态势感知除了对整体安全趋势的了解最大的需求的是破案。但目前的很多态势感知系统解决不了这个问题。而企业内部需要的信息系统态势感知要了解一起安全事件的背后是谁实施的具体做了哪些事情拿走了哪些数据。同样目前很多的安全运营系统也解决不了这些问题。 当目前的业务需求还没有满足的时候态势感知的实施稍显空洞。 态势感知要支持高层决策不仅要具备足够丰富的网络数据还要与不同的机构进行协同合作。这是一个从最底层事件上升到组织背景然后判断其发展趋势的过程绝不能仅仅停留在感知事件的层次上。 安全牛评 NGSOC与传统SOC的最大差别在于大数据能力的引入再加上威胁情报、智慧协同从而使其具备进阶的发现、响应与调查分析的能力。当然用好它还需要人与服务的结合数据与系统作为基础帮助安全运维人员与安全分析人员提供各类分析工具提升效率并最终辅助管理层决策。除此之外完全依赖SOC来“包打天下”的想法也是不可取的。身份验证与管理权限访问与控制通信加密与数据保护包括网络安全意识的教育与培训都是做好网络空间安全工作的重要基础。 本文转自d1net转载
