高級網(wǎng)絡威脅等網(wǎng)絡犯罪屢見不鮮,層出不窮。由于數(shù)據(jù)被盜、服務中斷及聲譽受損,導致企業(yè)的網(wǎng)絡攻擊損失也不斷攀升。加之有關信息安全的法律法規(guī)相繼頒布,以及各企業(yè)日益加強對第三方關系的管理,使用SIEM、SOC等產(chǎn)品來加強安全態(tài)勢感知,已成為大家共同的選擇。
雖然SOC目前在國外發(fā)展的熱火朝天,但在國內(nèi),由于缺乏充足的建設和維護經(jīng)驗,導致SOC難以充分發(fā)揮其預期效果,很多企業(yè)都將其當成數(shù)據(jù)存儲工具或SIEM工具來使用。
目前,在國外,SOC服務通常是以一種類似于SaaS服務的SOC-as-a-service(SOC即服務)方式來提供的,發(fā)展得如火如荼。如果參考國外的成熟經(jīng)驗,將SOC作為一項完整的態(tài)勢感知解決方案,即可享受SOC所帶來的諸多效益。即便是對于預算有限的用戶,SOC-as-a-service也可以提供所需的端到端的安全服務,由專業(yè)的SOC提供類似SaaS的服務,部署和管理起來既快速又容易,同時可以享受運行SOC所需的安全專家、流程和技術提供的專業(yè)服務。由于不需要在其他硬件、軟件或人員上進行投資,客戶的成本效益更高。
下面筆者將談談對態(tài)勢感知產(chǎn)品SIEM和SOC一些理解。對此話題感興趣的伙伴們,還可以參加12月10日,青藤云安全與中信集團旗下公司中企通信聯(lián)合舉辦的在線直播,對此話題進行深入探討。
從SIEM到SOC的變與不變
安全信息和事件管理(SIEM)是出現(xiàn)較早的安全態(tài)勢感知產(chǎn)品,可匯總和管理來各種來源的數(shù)據(jù),例如syslog、OS日志、端點設備、防火墻/IDS輸出和網(wǎng)絡流日志,其功能如下圖所示。
SIEM 的功能
雖然SIEM具有強大的數(shù)據(jù)處理功能,但終究只是一款工具,受限于需要專業(yè)人員運營、誤報多等限制,無法成為一款完整的態(tài)勢感知解決方案。而SOC則以SIEM作為核心技術,更多地集成了NIDPS、EPP、EDR、網(wǎng)絡流量分析(NTA)、安全編排、自動化和響應(SOAR)、威脅和漏洞管理(TVM)以及入侵攻擊模擬(BAS)工具,成為一種更完善的態(tài)勢感知解決方案。
下圖展示了SOC內(nèi)部的數(shù)據(jù)處理流程。整個SOC分為四層,Tier 1為報警分析師,Tier 2為事件響應人員,Tier 3為威脅捕獲人員,Tier 4為SOC經(jīng)理,其數(shù)據(jù)處理流程為:
· SIEM等工具收集的報警數(shù)據(jù)流向Tier 1的分析師,他們負責監(jiān)視報警、確定報警的優(yōu)先級,并負責對報警進行調(diào)查。
· 真正的威脅會傳遞給Tier 2的事件響應人員,他們具有更深厚的安全經(jīng)驗,他們會進行進一步分析并制定策略,遏制威脅的傳播。
· 嚴重的數(shù)據(jù)泄露行為將交給管理Tier 3的高級分析師,由他們?nèi)珯嘭撠熃鉀Q該威脅情況。此外,這些高級分析師還負責積極尋找威脅并評估業(yè)務漏洞。
· Tier 4的SOC經(jīng)理則負責根據(jù)情報信息,對未來SOC進行整體規(guī)劃和管理。
SOC的數(shù)據(jù)處理流程
從上圖可以看出,一切工作均始于數(shù)據(jù),數(shù)據(jù)乃SOC之根源。確定收集數(shù)據(jù)所需的數(shù)據(jù)點是實現(xiàn)態(tài)勢感知的第一步。在大多數(shù)情況下,這些數(shù)據(jù)點是來自組織機構的IT基礎結構的日志。有一個誤區(qū)就是將組織機構中所有可能的日志和數(shù)據(jù)點全部納入SIEM、SOC中,并假設可能有一天可能會用到這些數(shù)據(jù)。但管理供SIEM、SOC使用的數(shù)據(jù)成本非常高昂,為了避免不必要的運營成本,要優(yōu)先選擇“需要”的數(shù)據(jù)。
并非所有數(shù)據(jù)都可以納入態(tài)勢感知產(chǎn)品中。例如,將Web代理日志發(fā)送到SOC中可能很簡單;但是,并非所有數(shù)據(jù)點都使用方便或?qū)OC有價值。有些組織機構可能希望使用特定的數(shù)據(jù)點來解決某些用例問題,但是,也要意識到,讓SIEM、SOC來管理這些數(shù)據(jù)點,并確保這些數(shù)據(jù)的有用性,并非易事。下圖展示了根據(jù)解決方案的成熟度,將典型數(shù)據(jù)點納入到SIEM、SOC中的困難程度。
數(shù)據(jù)源管理的難度
現(xiàn)在的態(tài)勢感知到底還缺什么?
要實現(xiàn)良好的態(tài)勢感知功能,就要從多種來源收集可靠數(shù)據(jù)。沒有高質(zhì)量的數(shù)據(jù)來源,SOC也就是一個花瓶擺設。但是正如上文所說,現(xiàn)在SOC數(shù)據(jù)來源于有很多,但是大部分都是網(wǎng)絡側(cè)流量數(shù)據(jù)、日志等。主要是通過對互聯(lián)網(wǎng)節(jié)點網(wǎng)絡流量進行監(jiān)控探測,形成局部的威脅事件采集能力,這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數(shù)據(jù)分析能力和安全響應能力,市場上很多態(tài)勢感知僅僅是通過一些安全可視化方法做了數(shù)據(jù)的圖像呈現(xiàn)。甚至很多人都認為態(tài)勢感知就是大屏展示的“安全地圖”,只用于直觀顯示網(wǎng)絡環(huán)境的實時安全狀況,比如了解網(wǎng)絡的狀態(tài)、受攻擊情況、攻擊來源等。這類態(tài)勢感知產(chǎn)品具有一定威脅展示的直觀性,但從感知深度、感知廣度和感知的有效覆蓋范圍來看,遠未達到“全天候全方位感知網(wǎng)絡安全態(tài)勢”的要求。
那么態(tài)勢感知一個合理視角應該是什么?筆者認為應該從以事件為中心轉(zhuǎn)到以資產(chǎn)為中心。從哲學角度看,態(tài)勢感知是對網(wǎng)絡空間中的主體、客體和關系進行認識和表達的過程。攻擊方、用戶、廠商等屬于主體,而攻擊工具、服務器、虛擬數(shù)據(jù)資產(chǎn)等都屬于客體。
現(xiàn)有態(tài)勢感知缺乏主機相關信息,對于失陷主機的“態(tài)”及脆弱主機的“勢”無法精準有效的呈現(xiàn)。而全方位感知網(wǎng)絡安全態(tài)勢,要求除了對基于網(wǎng)絡流量進行威脅可視化呈現(xiàn),還要求對全網(wǎng)主機及關鍵節(jié)點的綜合信息進行網(wǎng)絡態(tài)勢監(jiān)控。
如果無法獲得正確的數(shù)據(jù),則無法實現(xiàn)這些數(shù)據(jù)的預期用途。沒有數(shù)據(jù)就意味著防護人員無法看到攻擊行為,從而也就沒辦實行防護方案。
那么如何獲得高價值數(shù)據(jù)?我們需要確保做好以下方面的工作,才能確保SIEM、SOC等產(chǎn)品可以使用特定日志數(shù)據(jù):
1)配置好初始系統(tǒng),以便生成所需的遙測數(shù)據(jù)
2)讓初始系統(tǒng)通過syslog推送或通過從SIEM工具提取API來訪問日志數(shù)據(jù)
3)解析這些日志數(shù)據(jù),以增強其可用性
目前,青藤云安全能夠為SOC平臺提供主機側(cè)高質(zhì)量數(shù)據(jù),補充現(xiàn)有態(tài)勢感知的不足,為SOC的發(fā)展源源不斷地注入“源頭活水”。
參與方式
直播時間:2019年12月10日 20:00——21:20
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 新能源車技術升級搶先看,ChatGPT崩了引熱議:未來科技如何破局?
- 自動駕駛行業(yè)大洗牌即將結束,小馬智行引領千臺車隊新篇章
- 微軟反壟斷風暴:Office捆綁銷售引質(zhì)疑,云服務策略遭調(diào)查,巨頭陷困境
- 顯卡漲價風暴來襲!NVIDIA/AMD緊急應對,全力加速生產(chǎn)運回本土
- 微軟新目標:用1000億美元打造實用通用AI,未來可期但需謹慎
- 亞馬遜云科技陳曉建預測:未來三年內(nèi),生成式AI將引發(fā)云市場新革命
- 林肯中國辟謠:財務調(diào)整非合并,業(yè)務不變穩(wěn)如泰山
- 字節(jié)跳動研發(fā)大手筆:2024年投入接近BAT之和,能否引領中國OpenAI新潮流?
- 跨境匯款平臺新舉措:螞蟻集團開發(fā)者服務限每日10萬美元,助力全球交易更便捷
- 我國充電樁建設提速,50%增長背后的高速服務區(qū)充電新篇章
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。