SOC系统应急响应能力浅析

目前，包括天融信、东软、启明星辰、Arcsight等国内外主要安全厂商陆续推出了SOC解决方案，即SOC(Security Operation Center)安全运营中心，从SOC的市场定位来看，SOC是最适合为用户提供应急响应能力的平台，因为它不仅涉及安全事件的收集、归并和关联分析，同时还提供对各种安全设备的配置及策略管理，提供安全设备之间的联动能力，但SOC在应急响应能力的表现方面却不尽人意。

“应急响应”（Emergency Response/Incident Response）通常是指安全人员在遇到突发事件后所采取的措施和行动。应急响应包括：准备、检测、封锁、根除、恢复、跟踪六个阶段。

第一阶段“准备”（Preparation），以预防为主；

第二阶段“检测”(Detection)，确定事件性质和处理人；

第三阶段“封锁”(Containment)，即时采取的行动；

第四阶段“根除”(Eradication)，长期的补救措施；

第五阶段“恢复”(Recovery)，由备份恢复系统；

第六阶段“跟踪”(Follow-up)，关注系统恢复以后的安全状况。

从上述定义的技术层面分析，“封锁”阶段在这六个阶段中起着承上启下的作用，其前面阶段以检测技术为主，后面阶段以防护和恢复技术为主，所以在检测手段日益完善后，应急响应效果好坏的的关键就在于“封锁”阶段，“封锁”阶段所花费的时间越长，损失可能越大。这个道理就像是我们在应付传染病的方式一样，只有快速的找到传染源和受感染者，并对其进行有效隔离，才是控制传染病大规模爆发的关键所在，这个阶段持续的时间越短越好，至于以后的治疗、康复和随后的医学观察，时间可以持续的长一些。

如果说IDS系统最大的问题除了“误报”和“漏报”之外，还有就是缺乏对安全事件的应急“封锁”能力，IDS除了检测报警外，基本没有“封锁”能力，这也是IPS在同IDS的竞争中获得用户认同的一个重要方面，IPS宣称可以对网络入侵等攻击行为进行检测报警的同时，还可以完成阻断控制，即具备应急响应的“检测”和“封锁”两方面的能力。

   但SOC提供的应急响应能力还是停留在检测报警上，SOC在海量数据采集、事件关联分析上都取得了不小的进步，基本实现了安全事件响应处理的流程化和工单化，实现了多样化的报警能力，但在应急响应“封锁”阶段的具体技术措施上还是依靠用户去手动处理，用户在收到大量报警信息后，仍然感到束手无策，应急响应的效果可想而知，如果不能提供针对安全事件源的快速定位和隔离能力，SOC的优势和价值就很难得到用户的认同。正如发现有了传染病，却无法对传染源和被感染者进行快速隔离一样，在没有有效隔离措施的基础上，谈对传染病的防治就是今天SOC面对的尴尬问题之一。