近日,接受IT168针对安管平台(SOC平台)的一个书面访谈,现将内容抄录如下,也可作为我近一段时期的认知总结。这个访谈也是配合IT168的国内安管平台现状调查的一部分。
国内SOC现状分析
叶蓬首先谈到,“经过10多年的发展,当前国内的安全管理平台(SOC平台)市场已经趋于成熟。可以说,安管平台市场的发展与国内信息安全建设的水平以及安管平台技术自身的发展息息相关。”
首先,安管平台是一集成类的安全产品,它架构在传统的单一安全产品之上,通过收集单一安全产品的安全事件和告警,以及对相关IT资源的统一监控,实现了全网的统一安全管控。因此,只有用户的网络与信息安全建设有了一定规模和水平后,安管平台的作用和价值才能突显出来。而随着近些年国内客户对网络与信息安全的日益重视,尤其是随着网络战、APT***等喧嚣尘上,客户已经迫切需要一个能够对全网安全进行统一监控、统一管理、统一维护的安全平台。
其次,安管平台自身的技术发展水平和成熟度也制约着国内客户运用安管平台技术的意愿、能力和水平。经过多年的发展,目前安管平台的主要技术已经为国内主流厂商所掌握,从而使得安管平台技术能够更好的支撑客户实际需求。安管平台技术的发展水平也使得国内安管市场趋于成熟。
当前,国内安管平台市场主要的主要制约因素体现在安管平台的运用实践上。也就是说,当前国内安管平台发展的主要矛盾正在从“做好安管平台”向“用好安管平台”转变。如何建立一套最佳实践,积累安管平台的知识和案例,成为让安管平台在用户那里发挥价值的核心。
叶蓬介绍到,启明星辰作为国内最早从事安管平台(SOC)的安全厂商,其安管平台的业务已经开展了10年。并在2011年对底层架构进行了重构,开发出支撑下一代安全管理平台的Cupid(丘比特)架构。基于Cupid架构,启明星辰推出了下一代安全管理平台(NG-SOC),实现了面向业务的、智能的和主动的安全管理平台。
国内外SOC产品形态差异
可以说,国内外的安管平台(SOC)产品有显著的差异。从进入中国伊始,安全管理平台(SOC)的发展之路极具中国特色,并逐步形成了一套与国内信息安全建设发展相适应的技术体系。
国际上,一般将SOC看作是安全运营中心,它是一个对ITC(In-the-Cloud)服务及配套的CPE(Customer-Premise-Equipment)设施进行全面监控、运维、管理的场所,并涵盖相关的安全防护设施、办公设施、人员组织、工作流程和技术支撑环境。很显然,广义上的SOC概念的内涵与外延远远大于我们一般所说的安全管理平台。
国际上一般将SOC归入MSS(Managed Security Service,可管理安全服务)市场或者安全服务市场,而将SOC的核心技术支撑平台之一——SIEM(Security Information and Event Management,安全信息与事件管理)归入安全管理软件市场。
经过多年的发展,SOC在国内市场也基本上沿着产品和服务两种模式前进。产品层面,国内更多地将SOC的技术支撑平台部分称作安全管理平台,并经常指代SOC本身。安全管理平台的一般性定义是:安全管理平台是一个以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统;而服务层面,国内也出现了通过建设SOC来支撑其MSS业务的安全服务厂商。同时,还有一些企业和组织建立了自己的安全运营中心对其内部客户提供安全管理服务。
目前,国内的SOC市场主要是以安全管理平台市场为主。也就是说,安全管理平台更多的指代的是SOC中的技术和工具部分的内容。一般地,我们可以将安全管理平台简称为SOC平台。
国内用户需要什么样的SOC产品?
叶蓬讲到,对于国内环境的企业用户而言,需要的是一款在满足先进性要求基础上的更加适用、实用和易用的安管平台。
先进性是基础:所谓先进性,主要是指安管平台的技术先进性应该达到或接近国际水平。关键的技术点包括海量事件的高速采集技术、大规模安全事件分析技术、海量事件的存储技术、事件关联分析技术、风险评估技术、态势感知技术、信息可视化技术,等等。
适用:是指对用户而言,最好的安管平台一定是满足他实际需要的平台。由于各个客户安全管理体制和水平的差异,对安全管理平台的需求差异十分显著,即便是针对同一个功能,其需求程度也可能有很大区别。因此,优秀的安管平台要能够快速适应用户差异化的需求。对用户而言,获得适用的体验。进一步分析,如何才能提供快速适用的安管平台?不能仅仅依靠定制开发,因为这样运用周期太长。这就要求平台自身具有很强的适应性,包括开放性、可伸缩性和可扩展性。通过多样化的部署、快速的参数配置就能满足不用客户的不同需求,甚至是同一个客户不同阶段的需求。
实用:好的安全管理平台不仅技术先进、理念先进,还必须是可以实际运维使用的,是能够给一线运维人员真正带来生产效率的提升的。实用,主要是指针对安管平台的使用者而言,能够切实地提升工作效能,例如快速的发现问题,快速的出具报表报告,快速的进行合规性检查,流程化的工作步骤,等等。安管平台技术十分复杂,要想用好对运维人员综合安全素质要求较高,因此,优秀的安管平台都在如何降低自身的使用门槛和成本方面下了功夫。
易用:也是针对安管平台的使用这个环节来说的,同样也是为了提升使用安管平台的效能,降低使用的成本。这里的易用包括产品功能模块的设计,操作步骤上的串联,界面UI的交互体验,信息可视化,快捷菜单等等诸多方面。
部署SOC的价值在哪?
安管平台的应用,对于客户而言,最核心的价值体现就在于将现有的分散的安全防护机制集成到一起,构建齐了一套全局防御体系,从业务信息系统安全风险的角度,而非单一安全威胁和防御机制的角度去更加主动地管理安全。简单的说,就是“一体化安全管理”。
基于这个“一体化安全管理”的平台,用户可以:
1、真正建立起一套全面的安全管理平台和管理体系,包括技术平台、管理策略和流程。摆脱过去被动地上各种安全设备却又无法提高安全防御效率的恶性循环;
2、大大提升安全管理人员的工作效率,提升安全运营维护工作的水平;
3、真正有效地建立符合等级化保护要求的安全管理体系,更好地识别威胁,更好更便捷的去满足等保、ISO27000等的合规性要求。
对于最终客户,SOC安管平台最大和最直接的价值体现就是为客户各个层面的关心安全的人员提供了不同的用户价值。
对于管理层而言,高层领导、各业务主管领导和IT安全主管领导等都可以从各自的角度出发,借助安管平台对全网或相关业务信息系统的整体安全运行状况有一个直观的了解、清晰的掌控,能够获悉当前的安全态势、***分布、防护缺陷,掌握安全防御体系建设的水平和安全管理能力建设的水平。
对于执行层而言,安全经理、安全管理员、运维工程师、安全分析员、应急响应人员等也都能够借助这个安管平台从各自的角度出发,通过单一的管理界面,对网络和业务信息系统实施有计划地、持续地监视、检测、审计、分析、评估、预警、响应和报告,并能够实现相互之间的协同工作。
企业如何选型SOC产品?
安管平台自身的技术复杂性和应用的复杂性决定了对于企业用户而言,进行安管平台的选型并非易事。叶蓬认为,其实比选型更重要的是安管平台的建设规划,而选型仅仅是整个建设规划的一个环节。
1、建设规划关键思路:
★ 整体规划、分步实施、逐步落实的思路
建设一套全面的安全管理体系是一个系统工程,牵涉到单位的方方面面,不仅是IT运维及管理部门的事情,还涉及到各个业务部门,甚至单位中的每个个人。同时,建立安全管理体系本身也涉及到技术、流程、组织和人员等诸多要素,相互关联,缺一不可。因此,必须充分认识到安全管理体系建设的复杂性,同时要获得单位高级管理层的理解和支持,总体规划一定要到位,切忌重建设轻规划。
1)安全管理体系设计:在管理层的支持下,首先要结合客户的现状与未来发展规划,以及自身业务特点,按照等级保护的基本要求,借鉴IAFT的框架,设计出总体安全管理体系。这个体系应该包括组织和人员、流程、技术等各个方面。
2)SOC平台总体设计:然后,基于SOC的基本模型和功能组成,设计出安全管理体系之下的安全一体化集中管理系统(SOC)总体方案。这个总体方案重点对安全管理的技术方案进行设计,形成一套安全管理体系的技术支撑平台。
3)SOC平台落实规划:SOC总体设计方案不可能一步到位,需要进行合理规划,分阶段实施,分步骤落实。每一步都要明确实施的范围、目标,预期要达成的效果,并进行可行性分析和论证。一般建议分2~4步来落实。
★ 技术与服务并重,建设与运维并举的思路
安全管理体系的建立和安全管理平台的运维使用不仅仅是一个技术问题,还涉及到组织、人员和流程等方方面面。因此,安全管理平台(SOC)一定要避免“重建设,轻使用”的误区。只要规划明确、管理范围界定清楚、目标清晰,依据科学的技术指标,遵循合理的选型过程,就能够搭建好一个安全管理平台。但是,如何使用好这个安全管理平台,则需要在日常运维工作中不断地磨合、梳理,逐步建立起适用的工作流程。同时,还需要相应的专业技术人才,以及合格的运维管理队伍。
因此,建设SOC,一定要技术与服务并重,建设与运维并举,在规划、选型等各个阶段都要关注SOC运维服务部分的内容,避免出现“建起来,用不起来的”尴尬。
需要指出的是,如果说技术选型可以制定出一套硬指标的话,那么,服务选型都是软指标。这些软指标如何在后续的SOC运维使用过程中体现出来,是具有挑战性的。
★ 充分利用代维服务,借助外脑
建设安全管理平台(SOC)是一项技术含量高,对单位组织和配套流程要求高的工作。因此,客户在建设安全管理平台(SOC)的过程中,要充分借助外脑,充分利用外部资源,使用代维服务,运维外包的模式。在项目规划和建设阶段,可以借助外脑,利用外部咨询专家和实施顾问定规划、定应急预案、定运维流程;在系统运维使用阶段,可以借助运维外包,利用外包方驻场工程师充实现有的运维队伍,利用外包方专家协助进行应急响应、安全事件分析与取证。
在利用外部资源的同时,客户自身也要建立一支精干的专业安全运维团队,不断吸取外部资源提供的经验,逐步提升自身的专业技术水平和安全运维能力,并做好相应的代维监督管理工作。
2、 SOC技术平台选型建议:
注意:只有先完成了建设规划,才有可能进入平台选型阶段。而根据建设规划,不一定非要去选择自建SOC,因此也就不一定非要去做SOC选型。用户也可能选择外包、委托建设等方式。因此,SOC选型与否应该取决于安管平台建设规划,千万不要本末倒置。
1)建立安全管理平台衡量关键指标体系
在安全管理平台选型的时候,第一步是要建立衡量安全管理平台的关键指标体系。用户根据当前阶段的任务目标和范围,从选型指标库中选取合适的指标,包括技术指标和服务指标两类,并赋予相应的权重,构成本次选型的关键指标体系。
这个阶段的工作成果输出是:一个包括关键指标体系的打分表。
2、筛选供应商,确定备选平台
这个阶段的工作是根据那份关键指标体系和打分表对供应商进行比较、打分。根据供应商的平台技术水平和服务水平筛选出优选的供应商,并圈定2~4个备选平台。
需要注意的是,选择供应商与选择安全管理平台是有区别的,选择安全管理平台平台重点关注的是是否能够满足技术指标体系,而选择供应商重点关注的是供应商的安全管理平台实施能力,以及满足服务指标体系的程度。
这个阶段的工作输出是:出具安全管理平台供应商的服务指标体系符合性报告、确定备选供应商和备选平台。
3、依照技术指标体系对备选平台进行POC验证性测试
在确定备选安全管理平台后,就要根据事先制定的关键技术指标,对2~4家备选平台进行验证性测试。
POC(Proof of Concept)测试,即验证性测试,是指根据预设的系统功能和性能技术指标,在模拟环境下,进行真实的数据运行,对备选系统进行功能满足度的测试。同时,通过对备选系统进行性能测算,估算出真实环境下的性能和系统承载能力。
在这个阶段,用户要自行搭建模拟环境,并在安全管理平台供应商的配合下,搭建起测试平台,进行测试。一般每个平台的测试周期约为1~2周。测试完毕,要出具测试报告和技术指标体系符合性报告。
在进行验证性测试的时候,可以仅针对优先级别标记为高或者是必须满足的技术指标项进行测试,这样有助于测试过程的快速收敛。
4、综合评判
根据第二阶段和第三阶段的工作成果,对安全管理平台供应商和平台作出综合评判,并打分。
5、商务谈判、招投标
这个阶段,用户进入商务招标阶段。可以选择公开招标,或者邀标,等等。
总之,由于安全管理平台技术相对比较复杂,涉及面广泛,因此安全管理平台选型应该慎重行事,前期准备工作尽量充分、完备。
SOC市场发展趋势预测
叶蓬表示,毫无疑问,安管平台未来在中国市场十分值得期待,随着客户信息安全建设水平的不断提高,安全建设成熟度的不断提升,安管平台(SOC平台)必将越来越成为客户安全管理工作的控制中心,神经中枢。安管平台始终都将作为客户安全能力全局优化的核心落地。
从市场发展上来说,未来的安管平台市场将呈现以下特点:
1) 业务将成为安全管理平台的核心保障和管理对象。安管平台将更多地融入业务安全的特点;
2) 网络管理将不断与安全管理融合,越来越多的国内客户在建设安全管理平台的同时需要集成网络管理的功能;
3) 安全审计,尤其是日志审计将成为安全管理平台的一个重要功能点;
4) 安全管理平台将更加注重使用价值,并与客户自身业务紧密结合。客户已经认识到,要真正建设好一个安全管理平台,不仅需要考虑平台的功能,更需要注重平台、实施和运维等整个平台生命周期的统筹;
5) 随着云计算和虚拟化技术的逐步运用,安全管理平台作为客户的统一管理平台,将需要对客户的云和虚拟化环境下的IT资源进行监控、审计和分析。同时,安管平台自身的云化也将成为客户予以关注的问题;
6) 安全管理平台的市场细分将更加显著,针对不同类型的客户需求,安全管理平台将以不同的面貌出现,其中,行业化定制将成为安全管理平台的一个发展方向。
同时,安全管理平台是一个开放性的平台,其技术支撑也处在快速变化革新之中。从技术角度来说,为了满足客户的更高需要,安管平台技术将会出现以下发展趋势:
1) 更先进的海量数据处理与分析技术,例如大数据分析(Big Data Analysis)技术,将应用于安全管理平台的事件采集、分析、存储和展现;
2) 安全管理平台将向智能化方向发展。传统的基于规则的关联分析只能识别已知的安全问题,而新的技术将要能够识别未知的安全问题;
3) 安全管理平台将向主动化方向发展。传统的安全管理平台更加重视对事件的分析,局限于对已经发生的安全事件的分析、应急响应,随着安全形势的日益恶化,安管平台需要更加主动化的、前摄性的技术手段来帮助用户防患于未然;
4) 云技术蒸蒸日上,安全管理平台必须与云技术结合,实现自身的云化。