網絡安全是一個動态的過程,主要表現在以下兩個方面:攻擊者的手段在不斷變化,攻擊方法和工具也在不斷更新,随着網絡内裝置的增多,各類漏洞的不斷出現更是為攻擊者提供了新的滋生土壤。網内業務不斷變化,軟體系統在變,從業人員在變,妄圖通過一個系統、一個方案解決所有問題是不現實、不可能的。是以,網絡安全需要不斷的人力、物力、财力等投入,需要持續的營運、維護和優化,SOC也便應時而生。
什麼是安全營運中心?
安全營運中心業界通常稱為SOC(Security Operations Center),SOC采用集中管理方式,統一管理相關安全産品,搜集所有網内資産的安全資訊,并通過對收集到的各種安全事件進行深層的分析、統計、和關聯,及時反映被管理資産的安全情況,定位安全風險,對各類安全事件及時發現和定位,并及時提供處理方法和建議,協助管理者進行事件分析、風險分析、預警管理和應急響應處理。
安全營運中心核心能力
SOC平台能夠對各種多源異構資料源産生的資訊進行收集、過濾、格式化、 歸并、存儲,并提供了諸如模式比對、 風險分析、異常檢測等能力,使使用者對整個網絡的運作狀态進行實時監控和管理,對各種資産(主機、伺服器、IDS、IPS、WAF等)進行脆弱性評估,對各種安全事件進行分析、統計和關聯,并及時釋出預警,提供快速響應能力。
其核心能力如下:
網絡管理能力
SOC平台可通過SNMP、SSH、Telent等協定,監控多種網絡裝置的運作狀态,并對運作異常進行報警。監控功能包括:
1、監控裝置運作狀态,如系統CPU、記憶體、 系統時間、裝置持續運作時間。
2、監控端口資訊,如各端口的活動狀态及位址變化。
3、監控流量資訊,采集目前時刻裝置總流量、 總流出資料量、總流入資料量等。
4、自動發現網絡拓撲,以圖形化的界面展示, 并提供視圖操作及輸出功能。
安全資産管理能力
SOC平台提供資産資訊庫維護能力,可對資産資訊進行增加、删除、修改等,并支援資産檢索功能,對被管裝置資産資訊可以按照裝置IP位址、裝置所屬機關、裝置類型、所屬安全域、所屬業務系統等條件進行單獨或組合查詢。
風險管理能力
SOC平台支援基于IS013335和ISOl7799标準的風險計算分析和展現。可以從地域、業務系統、IP位址段等視角檢視資産風險,及時掌握資産中産生的安全事件、配置脆弱性和安全漏洞。
工單管理能力
SOC平台通過工單管理,實作對安全事件的快速閉環響應。
通過事件監控中心監測到安全事件後,手工或系統自動生成新的工單,并通過系統報警或郵件的方式,通知相關責任人進行處理。工單管理會對工單被派發後的整個過程進行跟蹤,進行工單收回、重新派發等工作。
事件收集采集能力
SOC平台能夠通過多種方式收集事件源發送的安全事件資訊,收集方式包含以下幾種:
1、通過檔案方式,讀取事件源的日志檔案,擷取其中與安全有關的資訊;
2、通過SNMP Trap和syslog方式,接收事件源發來的安全事件;
3、通過JDBC、ODBC資料庫接口擷取事件源存放在各種資料庫中的安全相關資訊或資料庫記錄檔;
4、通過OPSEC接口,接收來自該類型的安全事件伺服器發送來的事件。
5、通過第三方應用程式或者自研agent,結合以上方式或者标準輸出,直接将安全事件轉發給安全事件采集系統。
事件處理和關聯分析能力
SOC平台中事件處理功能,主要負責對安全事件進行标準化、過濾、合并、集中存儲。
SOC平台中關聯分析采用基于規則關聯或資産漏洞、威脅情報關聯的方式,實時對事件進行統計分析,當滿足條件的事件發生時,将觸發對應的安全響應動作,如聲音報警、郵件報警、手機短信報警等多種方式。
知識庫管理能力
SOC平台的知識管理平台除提供一般知識管理功能, 比如安全知識庫、教育訓練和人員考核等,也提供了強大的漏洞庫、事件特征庫、更新檔庫、安全配置知識庫和應急響應知識庫等。
豐富的報表展現能力
SOC平台報表提供對系統内的各類安全資料,進行全方位多角度的展現能力。如資産類型分布、攻擊類事件分布、安全告警趨勢等,并提供使用者自定義及報表導出能力。
第三方系統內建能力
SOC平台第三方系統內建能力是SOC平台能夠對網絡安全進行綜合評定的又一基礎。SOC平台可以通過Webservice接口或第三方提供的API,從第三方系統或去必要資訊,或者驅動第三方系統或裝置進行有目的的工作。如SOC平台可以通過驅動漏洞掃描系統,對指定的資産進行漏洞掃描,并通過結果接口擷取掃描結果,參與到事件的關聯分析中。
安全營運中心價值