网络安全是一个动态的过程,主要表现在以下两个方面:攻击者的手段在不断变化,攻击方法和工具也在不断更新,随着网络内设备的增多,各类漏洞的不断出现更是为攻击者提供了新的滋生土壤。网内业务不断变化,软件系统在变,工作人员在变,妄图通过一个系统、一个方案解决所有问题是不现实、不可能的。因此,网络安全需要不断的人力、物力、财力等投入,需要持续的运营、维护和优化,SOC也便应时而生。
什么是安全运营中心?
安全运营中心业界通常称为SOC(Security Operations Center),SOC采用集中管理方式,统一管理相关安全产品,搜集所有网内资产的安全信息,并通过对收集到的各种安全事件进行深层的分析、统计、和关联,及时反映被管理资产的安全情况,定位安全风险,对各类安全事件及时发现和定位,并及时提供处理方法和建议,协助管理员进行事件分析、风险分析、预警管理和应急响应处理。
安全运营中心核心能力
SOC平台能够对各种多源异构数据源产生的信息进行收集、过滤、格式化、 归并、存储,并提供了诸如模式匹配、 风险分析、异常检测等能力,使用户对整个网络的运行状态进行实时监控和管理,对各种资产(主机、服务器、IDS、IPS、WAF等)进行脆弱性评估,对各种安全事件进行分析、统计和关联,并及时发布预警,提供快速响应能力。
其核心能力如下:
网络管理能力
SOC平台可通过SNMP、SSH、Telent等协议,监控多种网络设备的运行状态,并对运行异常进行报警。监控功能包括:
1、监控设备运行状态,如系统CPU、内存、 系统时间、设备持续运行时间。
2、监控端口信息,如各端口的活动状态及地址变化。
3、监控流量信息,采集当前时刻设备总流量、 总流出数据量、总流入数据量等。
4、自动发现网络拓扑,以图形化的界面展示, 并提供视图操作及输出功能。
安全资产管理能力
SOC平台提供资产信息库维护能力,可对资产信息进行增加、删除、修改等,并支持资产检索功能,对被管设备资产信息可以按照设备IP地址、设备所属单位、设备类型、所属安全域、所属业务系统等条件进行单独或组合查询。
风险管理能力
SOC平台支持基于IS013335和ISOl7799标准的风险计算分析和展现。可以从地域、业务系统、IP地址段等视角查看资产风险,及时掌握资产中产生的安全事件、配置脆弱性和安全漏洞。
工单管理能力
SOC平台通过工单管理,实现对安全事件的快速闭环响应。
通过事件监控中心监测到安全事件后,手工或系统自动生成新的工单,并通过系统报警或邮件的方式,通知相关责任人进行处理。工单管理会对工单被派发后的整个过程进行跟踪,进行工单收回、重新派发等工作。
SOC平台能够通过多种方式收集事件源发送的安全事件信息,收集方式包含以下几种:
1、通过文件方式,读取事件源的日志文件,获取其中与安全有关的信息;
2、通过SNMP Trap和syslog方式,接收事件源发来的安全事件;
3、通过JDBC、ODBC数据库接口获取事件源存放在各种数据库中的安全相关信息或数据库操作日志;
4、通过OPSEC接口,接收来自该类型的安全事件服务器发送来的事件。
5、通过第三方应用程序或者自研agent,结合以上方式或者标准输出,直接将安全事件转发给安全事件采集系统。
事件处理和关联分析能力
SOC平台中事件处理功能,主要负责对安全事件进行标准化、过滤、合并、集中存储。
SOC平台中关联分析采用基于规则关联或资产漏洞、威胁情报关联的方式,实时对事件进行统计分析,当满足条件的事件发生时,将触发对应的安全响应动作,如声音报警、邮件报警、手机短信报警等多种方式。
知识库管理能力
SOC平台的知识管理平台除提供一般知识管理功能, 比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。
丰富的报表展现能力
SOC平台报表提供对系统内的各类安全数据,进行全方位多角度的展现能力。如资产类型分布、攻击类事件分布、安全告警趋势等,并提供用户自定义及报表导出能力。
第三方系统集成能力
SOC平台第三方系统集成能力是SOC平台能够对网络安全进行综合评定的又一基础。SOC平台可以通过Webservice接口或第三方提供的API,从第三方系统或去必要信息,或者驱动第三方系统或设备进行有目的的工作。如SOC平台可以通过驱动漏洞扫描系统,对指定的资产进行漏洞扫描,并通过结果接口获取扫描结果,参与到事件的关联分析中。
安全运营中心价值
基于某一个具体设备或系统,如WAF、IDS、IPS、漏洞扫描系统进行网络安全分析,信息较分散,容易增加误判、漏判的概率,且需要大量的专业人员,知识积累较困难,应急响应慢。
SOC平台通过收集各类相关安全信息,并进行相互之间的关联分析、印证,从多角度对网内资产进行安全分析和评估,并将安全运维工作流程化,极大提高了发现事件并及时处理响应的能力,同时通过知识积累和系统运维的完善,不断加强和完善网络的安全防护能力、攻击发现及应急响应能力。
来源于:乐山网警巡查执法
