SOC,即安全運營中心,從名稱來看:
S->Security(安全),即SOC處理的事件或流程應該是與企業網絡安全相關的;
O->Operations(運營),代表著一種動態的動作,包括但不限於實時的檢測和響應;
C->Center(中心),體系化的建設,多領域安全產品和服務“疊加”而成的綜合防線。
眾所周知,安全運營中心(SOC)在中國的落地一直不算成功。僅靠日誌分析、終端安全等工具的堆砌,缺乏足夠的知識和人才來運營,難以與IT、業務和監管等部門進行有機的聯動,這些問題都使得許多國內的自建SOC幾乎等同於SIEM,而遠沒有達到成熟安全運營中心應具有的能力。
IBM在全球擁有10個自建安全運營中心來幫助客戶進行遠程安全運維,並擁有超過18年SOC的建設和運營經驗。今年年初,IBM安全將Watson在網絡安全領域的能力以QRadar的組件“Watson Advisor”的形式正式發佈,並以此為契機推出了“認知型SOC”的概念,來推動Watson在網絡安全領域的應用和下一代SOC的建設。
那麼,擁有豐富SOC經驗和前沿人工智能技術的IBM又是如何看待“安全運營中心”的呢?
一、SOC的運維核心
SOC作為一個複雜的實時響應系統,是人員、流程和技術的有機結合體。它可以協助管理人員進行事件分析、風險分析、預警管理和應急響應處理。對於SOC的建設與運營,以下三點至關重要:
技術是SOC的建立基礎,它決定了該組織在各種情況下,甚至是在如持續攻擊、自然災害、設施故障的嚴苛條件下提供持續安全的能力;
SOC流程必須被文檔化,並且在現有的標準和治理框架下持續實施,而相關流程也必須考慮企業相關安全策略,業務控制點和相關監管要求;
SOC的實際能力和運營者的水平是一致的,所以在前期策劃時,為以安全為中心的組織準備獨一無二的人員管理規劃,將會提供顯著的長期回報。
1. SOC內部如何運轉
下面這個流程可能是SOC中最常見的:
SOC值班人員發現疑似攻擊->IT部門統計相關資產狀態、配置等信息,並對攻擊進行核實->安全&IT部門向企業變更委員會提交攻擊報告->變更委員會作出是否停服變更判斷:
嚴重威脅核心業務系統,停止服務,打補丁,測試,上線;
不涉及核心業務系統,不停服,針對相應攻擊更改WAF、IPS等網絡邊界安全設備配置進行基礎性防護;
難以確定威脅嚴重程度,尋求第三方安全專家支持。
以上的流程,均由企業各部門在內部ITSM(IT服務管理)系統中開具工單串行完成。
那麼,如果從能力建設層面來看,SOC又應該具備哪些方面的能力?
2. 成熟SOC應具有的三層能力
IBM認為,成熟的SOC應該注重三層能力的建設:
首先,應是運營層面的能力,例如發現(疑似)威脅或收到企業內/外部人員提交的安全威脅告警後,及時開啟事件響應工單的能力;
其次,對誤報的判斷,對威脅的定位、定性和分類的能力,以便聯繫不同部門進行技術或業務層面的支持;
再次,和相關安全廠商、託管服務商、行業監管部門、公安甚至是國家相關部門建立聯繫和交流機制。
而這其中,SOC經理目前應該將主要的關注點放到第二層能力的建設上,這也是檢測和響應能力最聚焦的一層。
需要注意的是,安全產品只是SOC在運營層面上的工具,將其簡單的堆砌是“死”的;能夠結合企業網絡環境和業務特點靈活使用這些工具的人,同樣是成熟SOC的核心。
此外,SOC還強調場景庫的積累,即對已知的安全威脅的檢測、響應模型,甚至可以細化到具體安全產品的策略配置。除了部分安全廠商巨頭可以通過部署在客戶SOC安全產品的反饋與分享實現全球場景庫共用外,這一部分還屬於客戶的自有能力範疇。
3. 企業自建安全應急響應中心(SRC)
目前,國內很多互聯網企業,諸如騰訊、螞蟻金服、京東等,都有企業自建的安全應急響應中心(SRC),以建立內部IT/安全部門和外界溝通的渠道。SRC的主要職責在於外部情報的蒐集和彙總,這與SOC對內部情報的分析和判斷是是相輔相成的。
如果企業沒有足夠的預算自建SOC或向第三方威脅情報平臺進行查詢,那麼企業獲得威脅情報的來源/白帽報告安全問題的途徑就只有SRC(在wooyun.org被關停後)。
當然,除了情報收集外,SRC還要負責白帽社區的運營,聯繫企業內部相關部門進行漏洞驗證、IT資產複審/修復、向內/外部的監管部門進行彙報、協助進行員工安全意識培訓等。
自建SOC成本不菲,而在中國成熟的SRC模式已經可以看作SOC在外部情報收集和事件處理層面的雛形。
4. SOAPA——SOC的進化?
雖然很多人對真正成熟的SOC還不甚清晰,但是SOC這一概念,卻有很大可能在近幾年被新名詞所替代。
今年的RSA大會,便提出在SOC中以SIEM為核心,整合終端檢測與響應、事件響應、沙箱、威脅情報等綜合性平臺,形成安全運營與分析平臺架構(SOAPA),以便安全分析人員能夠採用不同工具,進行實時的數據挖掘和威脅處置。
這亦是目前許多安全廠商打造自己SOC類產品體系的方向。
二、Watson&認知型SOC
那麼Watson的加入,又會給SOC帶來哪些新的驚喜?
Watson在安全領域一直致力於利用機器學習、自然語言處理等技術,幫助企業安全分析師減少在對之前需要人工收集、閱讀和理解的威脅報告、博客文章等文本內容上所消耗的時間,並提供建議和依據來輔助決策。
在經過金融、旅遊、能源、汽車等行業的40家500強企業真實網絡中的安全環境(包括惡意軟件、網絡犯罪、異常行為等)測試後,Watson通過IBM App Exchange平臺中QRadar組件的方式,正式將認知技術引入安全運營中心,並提出了認知型SOC的概念。
Watson能幫助SOC中的安全分析師做什麼?IBM之前的一項研究表明,安全團隊平均每天要從20萬起安全事件中篩選出真正重要的問題。而Watson最重要的,就是幫助他們快速確定安全事件的優先級並展現出威脅是如何隱藏進網絡環境中。
認知技術可以理解浩如煙海的結構化和非結構化數據,並藉此幫助初級分析員快速提升業務水平。通過自動攝取諸如研究報告、最佳實踐等信息,並提供實時的輸入,而以往這種技能和洞察力只能從多年的經驗中獲得。同時,認知技術可以使用如機器學習、聚類、圖挖掘和實體關係建模等分析方法,來識別潛在的威脅。它可以在攻擊發生前,加速對高風險用戶行為、數據洩露和惡意軟件的檢測。
當然,Watson並不會代替安全人員做決定。相反,通過將每天Watson的分析結果和人類安全分析師所得出的結論進行比對,Watson在學習,認知型SOC整體對威脅的防禦能力也在進步。
在實際應用案例方面,IBM已於今年3月末與瑞士金融部門達成合作,利用Watson可以提供的認知型網絡安全工具,幫助基礎設施運營商SIX為瑞士金融市場提供更前沿的網絡安全服務。
當然,這項全新服務將同時對SIX和IBM的客戶開放,並將優先服務那些對本地安全性、監管、合規和審計能力有需求的銀行業客戶,以幫助他們遵守相關對的數據隱私和數據保護規範。同時,這兩家公司還將合作開發並定義“下一代安全運營中心”的演進路線圖,並聚焦在使用諸如人工智能等認知技術,在終端、網絡和雲端對威脅做出響應。
三、從SOC到態勢感知
安全運營中心的核心是平臺&人,而建設它的重要目標之一,就是要支撐對網絡安全態勢的感知。
態勢感知本身是比較大的概念,覆蓋感知、理解和預測三個層次,根據環境的變化,動態、快速的做出判斷和處置決策。但是目前,國內態勢感知在企業網絡中的實踐仍暴露出許多問題。因為取證滯後、IT資產難以全面掌控、忙於合規性檢查、人才匱乏等原因,SOC目前的工作更多的是事後響應,甚至很難做到實時的檢測。
在實現態勢感知的能力要求方面,IBM認為以下五點至關重要:
1. 對企業現在IT資產和環境的全面把控
包括對企業現有的硬件、軟件資產的和網絡環境安全狀態的全面評估和詳盡記錄,一遍在發現問題後可以快速定位問題資產。
2. 內部/外部威脅情報相結合
網絡和安全設備上記錄的日誌,內網的可疑行為等內部情報,和接入第三方威脅情報查詢/訂閱平臺、國內外的威脅情報廠商聯盟、國家互聯網應急中心等外部情報的蒐集,甚至在敵人內部安插“眼線”,包括對黑市洩露數據的定期關注等,這些都是企業要主動去做的。內部和外部多方面的威脅情報在彙總後,才有可能對整個企業網絡的安全形勢形成判斷。
還有一種比較特殊的情報獲取,就是滲透測試,甚至是眾測服務。在企業授權的前提下,主動從外部尋找企業網絡、站點或應用的脆弱點,企業核實後再加以修復。
3. 對漏洞和風險的管理
包括安全漏洞的檢測&修復、安全事件的定性等,要根據企業內部資產狀態,並結合業務特點來定義。
4. 強調檢測和響應的聯動
“檢測->發現疑似攻擊->判斷(即核實是否為誤報)->響應”是大部分甲方安全人員的主要工作流程,目前安全架構還是集中在防禦、檢測和響應這三部分。企業不可能防禦住所有安全威脅,但是卻可以在事件/攻擊發生的前期感知到。這也是目前態勢感知更強調“檢測”技術的原因。
同時,檢測與響應的聯動性至關重要,快速的響應可以幫助企業儘可能減小損失。具體的事件響應流程不同行業有不同的合規性要求,要針對不同等級的安全事件,影響的不同資產,將響應流程細化並進行規範化管理。
5. 可視化能力
可視化不是“華麗”的攻擊動態演示,而應是對網絡環境和資產的(安全)狀態的一種深度洞察。今年二月初,IBM宣佈完成了對 Agile 3 Solutions 的收購。Agile 3 Solutions的長處,在於其自行研發的軟件可以提供與敏感數據保護相關的更好的可視化和風險管理能力,併為企業高層提供全面、直觀且對業務友好的數據風險管控中心平臺。
據悉,IBM已將其劃分到IBM安全商務部的數據安全服務部門,以幫助Guardium分析企業敏感數據的風險,並對敏感數據進行重點的監測和保護。