一、安全运营(SOC:Security Operations Center)
一般地,SOC被定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
本质上,SOC不是一款单纯的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在。
二、为什么用SOC?
过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施,这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是,现在的情况已经变化,安全问题已经不再像当年那么简单。安全是一个动态的过程,因为敌方攻击手段在变,攻击方法在变,漏洞不断出现;我方业务在变,软件在变,人员在变,妄图通过一个系统、一个方案解决所有的问题是不现实的,也是不可能的,安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分,与网络性能的地位非常接近。
三、起源
SOC的提出首先来源于安全服务提供商,他们首先提出了可管理安全服务(MSS)概念。从1998~2001年国外SOC发展的大致情况看,SOC发展一直都是作为服务(中心)和产品(平台)两个维度来发展的。现在的SOC究竟是服务还是产品,取决于你的发展策略:
1)SOC可以用于建立MSS运营平台,成为MSS的基础,这个SOC是一个中心,有固定的场所,有一个SOC技术支撑平台,有组织人员、有一套运营的流程,为第三方提供安全管理服务;
2)SOC可以用于建立企业和组织的安全运营中心。这个中心首先要有一套SOC平台,然后借助这个平台,企业和组织进行安全运维。如果仅仅购买一个平台,而不考虑运维,就像买了一把扫帚而不用,房间是不会自己变干净的。
四、业界最终用户建设SOC安全运营中心的三种方法
1)自建型SOC:自己搭建平台,建立自己的组织和流程,并进行运维。其中平台部分,用户可以自己设计并开发平台,也可以外购一个技术平台;
2)外包型SOC:购买MSS服务,租用MSSP(管理安全服务提供商)的SOC,或者叫做安全服务外包,包括租用安全基础设施;
3)共建SOC:目前比较多见的方式,自己搭建SOC技术平台,建立核心的组织结构和流程,处理核心的安全问题,然后利用外脑(外包服务)来进行协维、咨询;该方式是前两种方式的综合。
自建型SOC主要涉及SOC的创建和运维,SOC的创建可以参考《Building a Security Operations Center》,运维可参考《How to SOC it to the bad guys》以及。
针对外包型SOC,选择时除了考虑有强有力的基础实施、人员、流程和制度管理外,还应该有很好的信誉和资质,能够给用户带来安全感。
五、MSSP如何构建SOC
对于自己搭建SOC安全运营中心,但主要不是自用,而是用它去做MSS的MSSP在构建SOC时同样要考虑技术、流程和组织三个方面的内容。具体操作的时候,也有两个方式:
1)自建型MSSP,也就是自己来,以我为主的方式。可以利用自身现有的积累和优势,拓展成为一个MSSP,如国内的安全宝。
2)共建型MSSP,就是几个人(几家单位)一起来,各自贡献自己的优势,参与方可能包括基础设施提供商、运维和服务提供商,还有技术平台提供商,等等。