随着数字化浪潮的蓬勃兴起,各类政企机构上云步伐加快。与此同时,如高危漏洞、勒索病毒、挖矿木马、APT攻击等威胁层出不穷,安全形势日益严峻。许多政企机构虽部署了较为完备的基础安全产品,但防御体系仍以异构设备堆叠式为主,各设备相互割裂、难以深度协同,缺乏全局数据的可见性和主动防御能力。
面对指数级增长的威胁和告警,传统的安全防御往往力不从心。政企机构亟需一款成熟的、有体系、现代化的SOC,驱动安全运营整体能力朝“实战化”不断升级和演进。
在此背景下,腾讯安全联合Gartner撰写并发布了《SOC+安全运营体系白皮书》(以下简称《白皮书》),面向产业数字化转型推出了新理念——SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。
目前,腾讯SOC+集成了TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,可支撑政企机构建立起技术、人员、流程一体化的安全运营体系,全面提升安全防护能力和安全运营效率。
数字化转型重构企业IT,安全运营体系亟需升级
目前来看,随着数字经济的快速发展,政企机构的安全运营面临着诸多挑战。例如,企业IT架构被重塑,网络边界不断扩大;攻击方法层出不穷,安全挑战指数级增加;各安全产品能力割裂,体系化能力建设不足;安全人才短缺,运营效果难保障等等。
面对安全运营出现的新特征、新挑战,传统的安全运营中心(SOC)难以全面应对。《白皮书》指出,政企需要在传统SOC能力的基础上,加快技术创新和能力提升,从产业链与生态全局的角度制定安全策略、提升安全能力,从而适应新的安全挑战和攻击,为企业提供持续、稳定的安全服务。
而腾讯安全推出的“SOC+安全运营体系”新理念,强调以威胁情报运营和攻防对抗为基础,驱动客户安全运营整体能力朝“实战化”、“体系化”、“平台化”不断升级和演进。
(SOC+安全运营体系示意图)
腾讯SOC+安全运营体系中的“+”有三层含义:
1、威胁情报云打造安全生命周期“闭环能力:腾讯安全依托威胁情报云将腾讯20多年攻防实战经验、业内顶尖安全实验室的安全能力、海量安全大数据和AI技术,持续赋能并完善腾讯SOC+安全运营体系。
2、连接效能提升实现安全能力“集群效应”:在产品集成度上不断完善,比如将威胁情报中心、SOC、NDR、MDR等产品和服务连接,并通过威胁情报云给产品赋能,构建事前、事中、事后的协同响应,降低对人工的依赖,解决安全运营流程中人人、人机协同的问题,推动实现更加高效的安全响应。
3、开放平台打造安全共赢“朋友圈”: 在安全能力上将更加注重对生态伙伴的开放与合作,以开放平台为核心,提供高质量的情报数据,帮助生态伙伴提高威胁检测与响应的效率。同时,开放平台将进一步构建产业链共赢“朋友圈”,实现企业间的协作共振与价值提升。
腾讯“SOC+安全运营体系”将支持更多企业从“安全建设”向“安全运营”转变,由“满足合规要求”导向“提升安全能力”,从被动式防御过渡到“原生式”主动安全建设,最终迈进具备成熟、智能、可持续的安全“进阶优化”阶段,不断提升高阶安全防护、安全运营能力。
原子力+产品力+生态力,腾讯SOC+打造安全运营新范式
随着数字经济的演进,数字资产成为了企业运营发展的核心,安全建设趋势也在发展巨大转变。《白皮书》提到,从安全运营角度来看,企业安全运营体系能力建设需要以情报和攻防为基础,推动安全管理和规划的全面落地实施。
为此,腾讯“SOC+安全运营体系”区别过去烟囱式的安全建设方式,充分融合情报、攻防、管理与规划四大能力矩阵,通过原子力(Atomic Force)、产品力(Product Force)和生态力(Ecological Force)打造全新的安全运营体系与架构,从安全形态、安全价值、安全思维等战略视角,更全面的审视安全问题,有效解决制约SOC建设过程中的诸多瓶颈问题。
(腾讯SOC+安全运营全景图)
1、原子力(Atomic Force):构筑“情报、攻防”两大基础底座
原子力包含了丰富的威胁情报和坚实的攻防对抗能力,是SOC+安全运营体系的基础能力引擎。其中,威胁情报可以让安全运营者,第一时间掌握全面、准确的威胁信息,提高响应速度,使企业的防御体系大幅提升。攻防对抗能力则决定了企业安全的天花板,需要在实践中不断检验和精进。
2、产品力(Product Force):打造“核心-基础-抓手-载体”产品理念
产品力是腾讯SOC+安全运营体系关键所在,腾讯SOC+安全运营体系的产品力主要由四个核心模块组成,分别是TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务。
3、生态力(Ecological Force):实现“共享-互补-共建”安全协同机制
生态力则是SOC+安全运营体系的重要补给。数字经济时代,安全需要融入更多企业、机构和个人,每个安全主体对应不同的安全责任。不仅需要各方共享彼此的威胁情报、提升攻防能力,还需要进一步加强行业资源的有效配置,形成良性生态和通畅渠道,让自身安全能力“被集成”实现生态共赢,从而更好的为企业提供“有韧性”的服务。
总之,腾讯通过原子力构建的基础能力引擎,奠定安全运营的最小战斗单元;基于原子力引擎打造出具有独特优势的四大能力模块,构建腾讯SOC+的产品力矩阵,从而为用户提供有别于传统SOC的进阶能力和持续安全保障;同时从产业链视角实现了渠道生态和能力生态的搭建,最终形成生态力,为全行业安全运营贡献力量。
腾讯SOC+四大产品矩阵,为产业数字化升级保驾护航
目前,腾讯SOC+集成了TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,具备较强的实时性、精准性、完整性,并处于行业领先地位,可支撑政企机构建立起技术、人员、流程一体化的安全运营体系,全面提升安全防护能力和安全运营效率。
1、TIX威胁情报中心构建弹性协同安全体系
威胁情报在网络安全中的基础性作用和地位无需赘述,它能够贯穿预测、防御、检测和响应整个安全生命周期的能力闭环。总的来讲,高质量威胁情报产品应该具备情报数据源丰富、类型多样化、商业价值高以及云端协同能力突出等要求。
腾讯TIX威胁情报中心是一款集成基础情报、攻击面情报、业务情报三大情报能力的开放平台,提供覆盖C端、B端、云端、互联网开放数据等多个维度的数据采集,以及业界领先的威胁情报云能力,自产情报数量占比95%以上,同时依靠独特的威胁情报云端协同能力,对产品赋能,实现基于威胁情报和重大安全事件全天候响应分析。
同时,为满足不同的用户需求,TIX威胁情报中心支持以SaaS化为核心,提供WEB端、小程序、公众号、API、SDK、TIP等多种交付方式。
在办公网/生产网失陷检测、自建威胁情报中心、事前风险预防以及云端情报赋能生态伙伴等典型应用场景中,TIX威胁情报中心都能为用户提供有效科学的数据支撑和安全能力赋能。
(威胁情报产品和能力概览图)
2、SOC聚焦威胁检测与事件响应
SOC采用集中管理方式,统一管理企业内安全产品,进行统一的安全管理、威胁检测、大数据分析、调查取证和事件响应处置。
为了更好地应对当前企业安全运营面临的新形势,现代SOC需要覆盖多云、混合云场景;能以SaaS化、服务化的形式交付;聚焦威胁运营,具备TDIR(Threat Detect, Investigate and Respond威胁检测、调查和响应)核心能力;具备海量大数据处理能力和权威的安全评价体系。
腾讯SOC运营平台是腾讯安全面向政府以及金融、制造业、医疗、教育等大型企事业单位推出的多云混合云场景下的统一安全运营平台。平台聚焦TDIR,具备完整的安全评价体系和海量大数据分析处理能力,并且集成了专家经验+AI实现自动调查和响应,为用户提供数据遥测、安全检测、威胁狩猎、调查分析、联动响应、安全可视等威胁闭环运营能力。
腾讯SOC为客户不同的应用场景和业务目标,提供强大的平台支撑和安全能力赋能。包括:多云/混合云/多租户统一安全运营,日常运营、等保合规场景,实战攻防、安全态势感知,内部威胁与违规,大型集团、组织多级平台级联监管等。
(腾讯SOC功能架构图)
3、NDR以实战驱动,智能化部署网络安全防护体系
NDR的目标是从原始流量中发现网络威胁及异常,并展开分析与溯源。NDR应具备高级持续性威胁以及未知威胁的发现能力,互联网侧(南北向)以及内网侧(东西向)的流量威胁检测,以及网络层自动化响应闭环等能力。
腾讯NDR网络威胁检测与响应是由NDR御界高级威胁检测系统和NDR天幕安全治理平台两款产品组成,是腾讯自研的高级威胁检测(APT检测)、分析、溯源和响应一体化解决方案。通过专家规则、TAV引擎、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断等技术,实时发现流量中的恶意攻击和潜在威胁,进行全流量分析、溯源和阻断。
例如,在攻防演练、重保场景中,腾讯NDR可以快速发现最新的攻击手法和0day/1day漏洞利用,毫秒级响应海量攻击行为;在内网横移检测场景中,能够弥补内网流量防护的缺失,发现内网渗透行为,快速锁定恶意软件横向移动迹象,避免灾难事件发生。
(腾讯NDR网络威胁检测与响应产品结构图)
4、MDR构建最佳的安全运营效果
安全运营服务(MDR)是以服务外包形式,为企业提供安全运营标准化服务,解决企业自建安全团队面临安全人员不足、技能缺失等问题。MDR需要具备多个特点,例如强大的网络安全工具为基础支撑;利用云端能力提供服务支持;可广泛覆盖的服务范围;效果可量化的服务内容等。
腾讯MDR服务,以SOC+产品体系为基础支持,并充分结合专家经验,提供强大的安全工具,云端能力支持以及完整的服务生态。同时为了保证MDR的服务质量,腾讯安全建立了一、二、三线的服务支撑体系,实现服务流程的规范化。
通过标准化服务包和订阅式的服务,腾讯MDR可以为用户提供重保攻防演练期间的值守服务、日常运营安全策略优化服务以及安全威胁分析与处置服务等。帮助企业避免企业遭受高级威胁攻击,让企业可以在资源有限的情况下保障安全运营效果,减轻企业安全运营成本。
(SOC+产品配套标准化服务落地安全运营效果图)
随着网络攻击的手段、复杂性和技术能力在快速丰富和迭代,安全运营体系的未来发展必将更加注重实战化、体系化和平台化,重视专家经验与人工智能的双重互补,强调云+端+产业链的协同闭环,以及生态融合,以实现体系化的安全防御。
未来,腾讯安全将依托20余年多业务安全运营及黑灰产对抗经验,凭借行业顶尖安全专家、最完备安全大数据及AI技术积累,为企业构建安全战略,并提供紧贴客户业务需要的最佳实践方案,守护政府及企业的数据、系统、业务安全,为产业数字化升级保驾护航。