NO IMAGE

一、安全運營(SOC:Security Operations Center)

       一般地,SOC被定義為:以資產為核心,以安全事件管理為關鍵流程,採用安全域劃分的思想,建立一套實時的資產風險模型,協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。 
        本質上,SOC不是一款單純的產品,而是一個複雜的系統,他既有產品,又有服務,還有運維(運營),SOC是技術、流程和人的有機結合。SOC產品是SOC系統的技術支撐平臺,這是SOC產品的價值所在。

二、為什麼用SOC?

    過去我們都讓安全專家來管理各種型別的防火牆、IDS和諸如此類的安全措施,這主要是因為安全問題一般都發生在網路中非常具體的某個地點。但是,現在的情況已經變化,安全問題已經不再像當年那麼簡單。安全是一個動態的過程,因為敵方攻擊手段在變,攻擊方法在變,漏洞不斷出現;我方業務在變,軟體在變,人員在變,妄圖通過一個系統、一個方案解決所有的問題是不現實的,也是不可能的,安全需要不斷地運營、持續地優化。安全措施應當被實施在應用層、網路層和儲存層上。它已經成為您的端對端應用服務中的一部分,與網路效能的地位非常接近。

三、起源

SOC的提出首先來源於安全服務提供商,他們首先提出了可管理安全服務(MSS)概念。從1998~2001年國外SOC發展的大致情況看,SOC發展一直都是作為服務(中心)和產品(平臺)兩個維度來發展的。現在的SOC究竟是服務還是產品,取決於你的發展策略:

   1)SOC可以用於建立MSS運營平臺,成為MSS的基礎,這個SOC是一箇中心,有固定的場所,有一個SOC技術支撐平臺,有組織人員、有一套運營的流程,為第三方提供安全管理服務;

   2)SOC可以用於建立企業和組織的安全運營中心。這個中心首先要有一套SOC平臺,然後藉助這個平臺,企業和組織進行安全運維。如果僅僅購買一個平臺,而不考慮運維,就像買了一把掃帚而不用,房間是不會自己變乾淨的。

四、業界終端使用者建設SOC安全運營中心的三種方法

   1)自建型SOC:自己搭建平臺,建立自己的組織和流程,並進行運維。其中平臺部分,使用者可以自己設計並開發平臺,也可以外購一個技術平臺;
   2)外包型SOC:購買MSS服務,租用MSSP(管理安全服務提供商)的SOC,或者叫做安全服務外包,包括租用安全基礎設施; 
   3)共建SOC:目前比較多見的方式,自己搭建SOC技術平臺,建立核心的組織結構和流程,處理核心的安全問題,然後利用外腦(外包服務)來進行協維、諮詢;該方式是前兩種方式的綜合。

       自建型SOC主要涉及SOC的建立和運維,SOC的建立可以參考《Building a Security Operations Center》,運維可參考《How to SOC it to the bad guys》以及。

        針對外包型SOC,選擇時除了考慮有強有力的基礎實施、人員、流程和制度管理外,還應該有很好的信譽和資質,能夠給使用者帶來安全感。

五、MSSP如何構建SOC

        對於自己搭建SOC安全運營中心,但主要不是自用,而是用它去做MSS的MSSP在構建SOC時同樣要考慮技術、流程和組織三個方面的內容。具體操作的時候,也有兩個方式:  

1)自建型MSSP,也就是自己來,以我為主的方式。可以利用自身現有的積累和優勢,拓展成為一個MSSP,如國內的安全寶。

2)共建型MSSP,就是幾個人(幾家單位)一起來,各自貢獻自己的優勢,參與方可能包括基礎設施提供商、運維和服務提供商,還有技術平臺提供商,等等。