360的下一代SOC是這個(gè)樣子的

責(zé)任編輯:editor005

作者:王小瑞

2016-09-18 15:09:54

摘自:安全牛

智慧聯(lián)動(dòng)還有一層意思,即開(kāi)放API接口,使得第三方運(yùn)維團(tuán)隊(duì)或第三方安全服務(wù)團(tuán)隊(duì)也能夠基于這個(gè)數(shù)據(jù)平臺(tái)開(kāi)發(fā)應(yīng)用,有利于整體安全態(tài)勢(shì)感知的呈現(xiàn),輔助管理層的決策。

幾乎所有大型企業(yè)或機(jī)構(gòu)的IT系統(tǒng)中,都會(huì)有安全運(yùn)營(yíng)中心(SOC),它是網(wǎng)絡(luò)安全防護(hù)體系從設(shè)備部署到系統(tǒng)建設(shè),再到統(tǒng)一管理,這一發(fā)展過(guò)程的自然產(chǎn)物。但在國(guó)內(nèi)的實(shí)際應(yīng)用中,SOC的問(wèn)題多多。

首先是數(shù)據(jù)類(lèi)型不全,主要為各種網(wǎng)絡(luò)和安全設(shè)備推出的大量日志和告警數(shù)據(jù),再者不具備海量大數(shù)據(jù)存儲(chǔ)分析和處理的能力,最后是專(zhuān)業(yè)安全人才的匱乏。這些問(wèn)題均導(dǎo)致安全運(yùn)維或分析人員疲于應(yīng)付,很難從中發(fā)現(xiàn)真正的異常網(wǎng)絡(luò)行為,最終令SOC名存實(shí)亡。

那么問(wèn)題來(lái)了,如何改變傳統(tǒng)SOC的種種弊端?所謂的下一代SOC又是怎樣呢?

就在中秋節(jié)前夕,360企業(yè)安全發(fā)布了新一代態(tài)勢(shì)感知及安全運(yùn)營(yíng)平臺(tái),NGSOC。下面我們就來(lái)看一看這款在360企業(yè)安全產(chǎn)品線中有著“大腦”和“眼睛”地位的NGSOC。

區(qū)別于傳統(tǒng)SOC的三大特點(diǎn)

1. 大數(shù)據(jù)

數(shù)據(jù)驅(qū)動(dòng)安全的理念已得到業(yè)界的廣泛認(rèn)可。除了360本身?yè)碛械脑贫舜髷?shù)據(jù)平臺(tái)以外,360 NGSOC 最重要的特點(diǎn)之一就是本地全量數(shù)據(jù)的采集和分析。

360云端大數(shù)據(jù)平臺(tái)擁有的數(shù)據(jù):

樣本庫(kù)100億+安全日志18萬(wàn)億+DNS解析記錄100億+補(bǔ)天漏洞平臺(tái)漏洞10萬(wàn)+

安全防護(hù)體系的一個(gè)關(guān)鍵基礎(chǔ)就是持續(xù)的監(jiān)測(cè)和分析能力,而這種能力基礎(chǔ)則來(lái)自于各個(gè)層面或各個(gè)維度的數(shù)據(jù)積累。這些層面或維度包括了終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng),甚至是與人有關(guān)的數(shù)據(jù)。把之前這些各自獨(dú)立的條狀數(shù)據(jù)關(guān)聯(lián)在一起成為塊狀數(shù)據(jù),并結(jié)合不同的時(shí)間維度(事前、事中、事后),通過(guò)分布式、大數(shù)據(jù)量存儲(chǔ)和快速計(jì)算去進(jìn)行計(jì)算和關(guān)聯(lián)分析,才能真正看到傳統(tǒng)SOC所看不見(jiàn)的安全問(wèn)題,最終形成一個(gè)由數(shù)據(jù)驅(qū)動(dòng)的縱深防御體系。

2. 威脅情報(bào)

在威脅發(fā)現(xiàn)方面,NGSOC基于的是情報(bào)+規(guī)則關(guān)聯(lián)+機(jī)器學(xué)習(xí)+統(tǒng)計(jì)行為分析的方法,而不僅僅是簡(jiǎn)單的規(guī)則關(guān)聯(lián)引擎。這種新型的情報(bào)觸發(fā)方式,需要的是復(fù)雜的關(guān)聯(lián)調(diào)查分析,傳統(tǒng)的SOC產(chǎn)品非常難做到這一點(diǎn)。

例如在做本地關(guān)聯(lián)分析的時(shí)候,需要了解攻擊在不同主機(jī)和服務(wù)器之間的關(guān)聯(lián)性,不僅要對(duì)本地日志進(jìn)行快速檢索,云端的威脅情報(bào)也必不可少。這時(shí)就可通過(guò)360威脅情報(bào)中心的海量數(shù)據(jù),從樣本、運(yùn)維、系統(tǒng)等各個(gè)角度查找其關(guān)聯(lián)性,結(jié)合本地?cái)?shù)據(jù)回溯攻擊過(guò)程,快速地對(duì)攻擊進(jìn)行鑒定。簡(jiǎn)單的說(shuō)就是,以多維度數(shù)據(jù)為基礎(chǔ),結(jié)合云端大數(shù)據(jù)平臺(tái)產(chǎn)生的高價(jià)值威脅情報(bào),即云地協(xié)同,來(lái)真正幫助客戶(hù)精準(zhǔn)命中高級(jí)威脅。

“結(jié)合大數(shù)據(jù)分析平臺(tái)和威脅情報(bào)支持將是SOC產(chǎn)品的未來(lái)方向。”
——360企業(yè)安全集團(tuán)董事長(zhǎng)齊向東

3. 智慧協(xié)同

有著“大腦”和“眼睛”之中樞地位的NGSOC,需要與手腳或皮膚聯(lián)動(dòng)起來(lái),即360的終端(天擎)和防火墻(天堤),形成智慧協(xié)同。

整個(gè)NGSOC平臺(tái),從最底層的一手?jǐn)?shù)據(jù)采集,到大數(shù)據(jù)平臺(tái)上的數(shù)據(jù)存儲(chǔ)、處理和計(jì)算,再到利用各種工具和引擎進(jìn)行深入的安全分析,最后發(fā)出告警并實(shí)施響應(yīng)。這里的關(guān)鍵在于與終端檢測(cè)響應(yīng)(EDR)和網(wǎng)絡(luò)檢測(cè)響應(yīng)(NDR)的協(xié)同聯(lián)動(dòng)。

從大數(shù)據(jù)分析平臺(tái)出來(lái)的告警和策略會(huì)通過(guò)終端、防火墻的系統(tǒng)策略下發(fā)。傳統(tǒng)的響應(yīng)處置只是策略下發(fā),是非自動(dòng)化的,還需要進(jìn)行非常復(fù)雜的各種產(chǎn)品配置。NGSOC則可與EDR和NDR做聯(lián)動(dòng),包括對(duì)云端服務(wù)的一鍵求助,可快速發(fā)現(xiàn)并快速處置問(wèn)題。

智慧聯(lián)動(dòng)還有一層意思,即開(kāi)放API接口,使得第三方運(yùn)維團(tuán)隊(duì)或第三方安全服務(wù)團(tuán)隊(duì)也能夠基于這個(gè)數(shù)據(jù)平臺(tái)開(kāi)發(fā)應(yīng)用,有利于整體安全態(tài)勢(shì)感知的呈現(xiàn),輔助管理層的決策。

“安全協(xié)同能力,不論在數(shù)據(jù)、智能還是產(chǎn)業(yè)層面,是’安全+大數(shù)據(jù)’背景下的必然產(chǎn)物,也是從傳統(tǒng)安全向下一代安全的演進(jìn)的重要能力。”
——360企業(yè)安全集團(tuán)副總裁韓永剛

 

NGSOC VS 傳統(tǒng)SOC

談?wù)剳B(tài)勢(shì)感知

360此次發(fā)布的產(chǎn)品名為“新一代態(tài)勢(shì)感知及安全運(yùn)營(yíng)平臺(tái)”,因此發(fā)布會(huì)后,記者就此問(wèn)題采訪了360企業(yè)安全總裁吳云坤。

1. 態(tài)勢(shì)感知的價(jià)值所在

首先是主管機(jī)構(gòu)的管理要求。如網(wǎng)信辦要看整個(gè)互聯(lián)網(wǎng),地方公安要看整個(gè)城市,稅務(wù)或金融要看整個(gè)行業(yè)。主管或監(jiān)管部門(mén)要知道整體情況,進(jìn)行績(jī)效考核、協(xié)查通報(bào)等都可以以此為基礎(chǔ)。

再者就是輔助決策。例如,把過(guò)去十年所有某地區(qū)的高級(jí)威脅入侵方式和攻擊路徑、手法放在一起,可以發(fā)現(xiàn)攻擊組織能力的變更??梢钥闯鏊钤缡褂玫墓ぞ撸ㄟ^(guò)誰(shuí)控制的誰(shuí)。隨著重要活動(dòng)或事件的發(fā)展,不管是一帶一路、奧運(yùn)會(huì),還是G20,了解它的下一步目標(biāo)是什么,應(yīng)該怎么去防護(hù)等等,這些信息通過(guò)態(tài)勢(shì)感知是可以發(fā)現(xiàn)的。

2. 態(tài)勢(shì)感知的關(guān)鍵點(diǎn)

做好態(tài)勢(shì)感知的基礎(chǔ)是數(shù)據(jù),包括各種維度的數(shù)據(jù)。如流量數(shù)據(jù)、樣本數(shù)據(jù)、漏洞數(shù)據(jù),最近流行什么惡意軟件,發(fā)現(xiàn)什么漏洞利用等,通過(guò)觀察這些數(shù)據(jù),態(tài)勢(shì)或趨勢(shì)就在其中。但這些也只是技術(shù)性態(tài)勢(shì),屬于戰(zhàn)術(shù)級(jí)的,對(duì)領(lǐng)導(dǎo)決策作用不大。因此需要數(shù)據(jù)的理解和提升,形成情報(bào)。如事件的背后組織是誰(shuí)?用的什么手法,什么時(shí)候攻擊什么人,最終描繪出整個(gè)組織。

所謂對(duì)數(shù)據(jù)的理解,是從個(gè)體基因者到家族基因再到組織基因的分析和辨別。

攻擊目標(biāo)一般分為兩類(lèi),一類(lèi)是普通人,一類(lèi)是政府機(jī)構(gòu)。前者屬于民生,最大的問(wèn)題就是詐騙,涉及到偽基站短信、惡意應(yīng)用、非法應(yīng)用等。當(dāng)發(fā)現(xiàn)某些態(tài)勢(shì),如詐騙手法的改變時(shí),去做及時(shí)預(yù)警。后者是和國(guó)家社會(huì)安全相關(guān)的,對(duì)電廠、交通、能源等基礎(chǔ)設(shè)施的破壞,對(duì)科技、軍事情報(bào)的竊取等,這些都是態(tài)勢(shì)感知的關(guān)鍵點(diǎn)。

3. 態(tài)勢(shì)感知面臨的挑戰(zhàn)

實(shí)際上,市場(chǎng)上許多態(tài)勢(shì)感知系統(tǒng)并沒(méi)有產(chǎn)生非常有效的作用。地方公安系統(tǒng)需要的態(tài)勢(shì)感知,除了對(duì)整體安全趨勢(shì)的了解,最大的需求的是破案。但目前的很多態(tài)勢(shì)感知系統(tǒng),解決不了這個(gè)問(wèn)題。而企業(yè)內(nèi)部需要的信息系統(tǒng)態(tài)勢(shì)感知,要了解一起安全事件的背后是誰(shuí)實(shí)施的,具體做了哪些事情,拿走了哪些數(shù)據(jù)。同樣,目前很多的安全運(yùn)營(yíng)系統(tǒng)也解決不了這些問(wèn)題。

當(dāng)目前的業(yè)務(wù)需求還沒(méi)有滿足的時(shí)候,態(tài)勢(shì)感知的實(shí)施稍顯空洞。

態(tài)勢(shì)感知要支持高層決策,不僅要具備足夠豐富的網(wǎng)絡(luò)數(shù)據(jù),還要與不同的機(jī)構(gòu)進(jìn)行協(xié)同合作。這是一個(gè)從最底層事件上升到組織背景,然后判斷其發(fā)展趨勢(shì)的過(guò)程,絕不能僅僅停留在感知事件的層次上。

安全牛評(píng)

NGSOC與傳統(tǒng)SOC的最大差別,在于大數(shù)據(jù)能力的引入,再加上威脅情報(bào)、智慧協(xié)同,從而使其具備進(jìn)階的發(fā)現(xiàn)、響應(yīng)與調(diào)查分析的能力。當(dāng)然用好它還需要人與服務(wù)的結(jié)合,數(shù)據(jù)與系統(tǒng)作為基礎(chǔ),幫助安全運(yùn)維人員與安全分析人員提供各類(lèi)分析工具,提升效率,并最終輔助管理層決策。除此之外,完全依賴(lài)SOC來(lái)“包打天下”的想法也是不可取的。身份驗(yàn)證與管理,權(quán)限訪問(wèn)與控制,通信加密與數(shù)據(jù)保護(hù),包括網(wǎng)絡(luò)安全意識(shí)的教育與培訓(xùn),都是做好網(wǎng)絡(luò)空間安全工作的重要基礎(chǔ)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)