国内SOC现状分析与如何完善
国内SOC现状分析与如何完善
前言
从上世纪80年代初美国提出“信息战”这一军事术语开始到信息安全事件频发的今天。计算机网络技术已经从最初国防、科研的应用普及到了我们生活之中,并成为了我们社会结构的一个基本组成部分。信息战的愈演愈烈导致现今信息安全的地位上升到了国家的层面,信息战的范围也从军事和国防延沿到了商业、组织团体与个人,随之而来信息安全的重要性也在逐步加强。
创新互联的团队成员不追求数量、追求质量。我们经验丰富并且专业,我们之间合作时就好像一个人,协同一致毫无保留。创新互联珍视想法,同时也看重过程转化带来的冲击力和影响力,在我们眼中,任何细节都不容小觑。一直致力于为企业提供从国际域名空间、网站策划、网站设计、商城网站制作、网站推广、网站优化到为企业提供个性化软件开发等基于互联网的全面整合营销服务。
至2014年,已有40多个国家颁布了网络空间国家安全战略,仅美国就颁布了40多份与网络安全有关的文件。2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
信息安全的防御难度远远大于***,其主要的原因是真实的***隐藏在海量的正常数据流之中,加上***行为特征的难以提取、***渠道的多元化和***空间的不确定性等因素,直接导致了***的漏报率居高不下。孔子的《论语·卫灵公》中提到“工欲善其事,必先利其器”,单以个人技术而论,中国***并不逊色美国、俄罗斯***太多。但是在缺乏全局信息安全监控和关联警报的情况下,有限的安全专家在疲于奔命中也疏漏了大多数的风险。针对此类情况我们迫切需要的是,一套能基于威胁建模并智能判定风险真实性的SOC体系。
一、 为什么要使用SOC
随着信息产业化的加剧各行各业对信息依赖的程度越来越高,也越来越重要。因此当信息变成资产,如何保障信息系统的安全已成为其信息系统建设过程中最重要的任务。
企业内部网络系统建设并不是一次性完成的,在通常情况下会着重于应用系统和基础设备,而对其信息安全系统的建设重视程度不够、投资不足,在这种情况下导致了信息安全系统缺乏系统化设计。此类的信息安全系统会由不同厂家、不同时期的产品拼凑起来,仅仅能抵御来自某些方面的安全威胁,而各个子系统“各自为战”彼此成防御孤岛,无法实现协同防御也无法保持安全策略的一致性;与此同时,其内部网的各种服务器、应用系统、网络设备、安全设备等,在其运营期间会产生的大量的安全日志、操作维护日志和告警事件等,面对大量涌来的分散的安全信息、各种产品不同的界面和告警窗口,即便是专业的信息安全管理人员也往往束手无策,难以发现真正的安全隐患。
对于上述情况的企业迫切需要建立安全运营中心(SOC)。这样做的目的不是为了加强安全,而是将全网与信息安全相当的日志集中起来统一的进行监控、分析和存储。想要掌控全网的安全,首先必需准确了解全网的安全运营状态。SOC对于企业的真正价值不仅仅是简单的安全防护,它是从整体上、系统化的帮助企业具备了感知安全威胁的能力,
二、 SOC产品的不完整性
完整的SOC产品,要求能够对不同厂商的设备日志进行收集、标准化并提供监控、报警、规则、过滤器、资产、报表等功能。如果不能灵活的使用SOC的功能进行威胁建模、关联规则等,那么这样的SOC只能实现SIEM(安全信息和事件管理)的功能,即对所有的日志进行收集、安全存储、分析、警报、审核以及合规性报告。这样只解决了日志存储和审计的问题,并不能减轻安全分析人员的工作量也无法从根本上解决大量的误报、漏报问题。这也是很多企业购买SOC产品过后,无法实现预期效果的主要原因。
建立SOC威胁模型需要结合企业的内部资产环境,以安全事件管理为关键流程、行为分析为框架,采用安全域划分的思想进行设计。至于关联与合并日志是要通过建立规则去完成,而每个企业的实际情况和面临的主要安全威胁都不一样,所以这样的规则是需要和用户沟通过后,按照实际情况才能完成的。这些都不是单纯的产品能够解决的问题。
从本质上来看SOC不是一款单纯的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在,我们既不能夸大SOC产品的作用,也不能低估他的意义。
三、 SOC事件归集和分析的方法
SOC的首要任务就是对日志的收集、归并和分类。网络设备与安全设备日志造成海量误报、告警混淆的原因大多是因为重复的安全事件。例如,某管理员收到1000条日志报警,但通过关联性分析发现是因为一个***者使用X***和DoS工具所致,经过归并后的日志条数为2条,统计数量为1000,类别为X***和DoS工具。
以下列常见的***为例,(DDoS***、网络***、Web***、暴力破解***、僵木蠕),我们可以用这五类事件建立规则,根据***结果和危害等级定义生成的关联事件名称,如信息泄露、系统不可用、代理***等。针对不同的***场景,我们需要采用不同安全设备进行告警采样分析,并在测试中完善规则的兼容性。而针对***报警而言,这样的分析方法比较没有SOC之前仅仅形成了一条事件告警,大大降低了告警量。
案例分析
在2014年6月份,美国某网络安全公司发布报告称,中国军人对西方国家实施了网络******以协助发展中国卫星和航天项目。
NASA 所属的EOS安全小组使用可管理安全服务成功阻止国APT***,据称这些***首先***了RSA,部分SecurID 技术 (RSA 的根证书)及客户资料被窃取。其后果导致很多使用 SecurID 作为认证凭据的公司——包括洛克希德 马丁公司、诺斯罗普公司等美国国防外包商受到***,重要资料被窃取。后来***开始 APT *** NASA 美国国家航空航天局,因为***还需要一个重要的个人因子(个人PIN 码)没有获取。此时RSA 发现被***后,不得已向联邦政府进行了汇报,联邦政府立刻发布相关预警,于是 NASA 接收到预警后,派在大数据方面最有经验的地球观测系统(EOS)安全小组进行监控,EOS 小组采用 Splunk进行分析,成功地阻断了***,因此,美国的绩效监督管理中心为表彰美国航空航天局的网络防御成功,将其作为信息安全连续监测 (ISCM)的一个联邦网络安全最佳实践予以确认,并给予资金和研究方面的资助,并将成果公开。
实际上,NASA开始承认他们以前的风险管理策略是 “等待”事件发生,如果发现,就高效地响应,然后重复。这通常意味着NASA的风险反应能力非常缓慢,而且几乎总是在发生***、数据或系统完全破坏之后,特别是APT的0day***使得持续风险管理策略根本未起到任何作用。在2010年美国颁布sma2.0后,提出SP 800-37的原则是“将一个静态安全控制评估和风险确定过程变换为一个动态的过程……”, “必须从分散的文书评估工作(事后)转移到更有效的持续监测工作(运营中)。” NASA的安全管理工作发生了“方向的转变”,在 “只有能测量,才能改进”的经营理念下,利用持续监控来进行风险度量,提高安全性。
NASA认为他们成功的关键点有三。
1. 持续监控 Continuous Monitoring
持续监控是为了对运行中的系统进行连续的合规性检测,并使用规则进行关联分析和预警,进而为安全分析师提供充足的信息支持。
2. 风险计分卡Risk Score Cards
NASA采用风险计分卡 Risk Score Cards来评估各个中心的安全绩效,并通过可查询的方式提供风险原因等信息。NASA各中心为了提升各自的安全绩效,则会积极在所限定的时间内完成修补工作。
3. ***树 Attack Tree
NASA把***的过程分成侦察、定向***、攻陷和网络***、安装工具/程序、恶意危害等。NASA通过此类模型采用Splunk搜索可疑行为,从而有效地挫败了这次***。
四、 如何通过安全事件分析模型完善SOC产品的不足
在欧美SOC的技术和运用已经非常成熟,SOC并非单纯的产品,而是一个复杂的系统工程,包括了产品、运维以及服务,在产品体现上是以SIEM来代表SOC产品,MSSP(可管理安全服务提供商)来负责SOC的运维和服务。这要求了MSSP拥有丰富的SOC运营经验、标准的运作和管理流程、完整SOC运营团队、资深的安全专家与安全分析师、根据不同的客户环境建立SOC安全模型的能力、成熟的风险告警与响应机制。业界给与的SOC定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。搭建安全运营中心则需要以下三要素:技术、流程和人员,而国外广泛使用的可管理安全服务则是基于安全运营中心提供的服务,此服务的根本原理正是使用了安全事件追溯与证据链的分析模型和标准化流程。
基于安全事件分析模型的SOC能解决以下问题。
1. 降低成本:人员配置,技能要求,场地需求。
2. 全天候监控:7×24的监控服务。
3. 风险监控:有效监控安全风险,第一时间提供解决方案。
4. 发现和解决问题:及时发现和解决可能存在的安全问题。
5. 趋势分析:专业的安全趋势分析,月、季、年安全分析报告。
6. 日志存储和查询:日志有效存储和备份、快速查询定位。)
通过安全分析模型与标准流程,则可以解决上述的SOC产品的不足,服务可以根据用户的实际情况,在安全日志的基础上建立日志归并、关联、分析、响应、解决方案,用户需要做的只是处理这一步,这样就能简单地解决上面提到的各种问题。
首先,在技术方面,安全运营中心系统需要具备监控、分析、审计、报警、响应和报告等功能并综合使用这些功能完成安全事件追溯与证据链的分析模型的架构,同时需要搭建一个专用的安全运营中心场地,具备一切安全运营的硬件条件;
其次,在流程方面,传统的解决方案,通过安全产品发现安全事件后,则根据专业的安全专家的个人经验进行解决,而安全运营中心则是基于ISO 20000或者ITIL的标准流程进行
最后,在人员方面,如果客户对业务连续性比较高,客户还需要建立7*24小时的团队以应对安全问题的发生,除此之外,在团队建设中还需要有不同的安全技术梯队,以确保安全事件的升级响应、安全事件研究与分析、应急预案的制定和演练等,都是搭建安全运营中心必须要考虑到的关键点。
五、 制约中国SOC发展的原因和未来需求
国内SOC的引入和发展与国外的情况有很大不同,一方面国内在提出SOC的时候,大多数用户对SOC认识模糊认可度很低。另一方面,由于受制于国内体制、政策、应用环境、传统认识的制约,安全运维的外包也一直遭到排斥。所以国内的SOC一开始就是面向各类行业用户以产品形态出现,正因为这样SOC中最为核心的运维与服务才被忽视。
孙子兵法云“知己知彼,百战不殆”。在中美网络安全领域“斗而不破”的遏制与反遏制、打压与反打压博弈中,对美方的战略、能力、产业、技术等进行全面综合的了解至关重要。但遗憾的是,过去中方的视角长久的放在关键基础技术领域,放在微软、英特尔、谷歌、苹果等厂商身上,却忽略了美国产业体系中一股强大而独立的力量信息安全企业星群,他们也同样是美国全球战略能力的基石。而透过斯诺登事件公众们亦知道了,他们与美国的庞大国家机器微妙互动,强化了后者覆盖全球的情报能力。
与此同时,对于云计算、大数据等此类新技术,需要在出台相应的技术标准时更加重视安全问题。实际上,国内通信企业早些时候已经开始正视信息安全问题,已经有不少利用国内厂商设备替代美国公司设备的成功案例。在此等形势下,迫切需要发展本土的MSSP可管理安全服务提供商建立国产化的SOC体系,在全局上掌控信息安全的状况与威胁。
综上所述只有在有形的产品和无形的安全管理服务相互配合的基础上,才能避免核心机密被类似的“棱镜”项目所窥视。
本文题目:国内SOC现状分析与如何完善
转载源于:http://pwwzsj.com/article/ggpied.html