威胁演进之下 企业需要怎样的SOC?

  我们所处的时代,面临着前所未有的网络安全威胁。纵观全球,移动互联网、大数据、云计算、人工智能等一系列新技术的飞速兴起与发展应用,让企业的网络安全环境面临着巨大的变化:

  数字化正全面改变着商业运作模式,企业面临着前所未有的数字化转型机遇与挑战;随着云计算技术的广泛应用,云时代的基础架构及相关监控正逐渐向同质化产品演变;对于一系列网络安全威胁而言,越来越多的未知威胁正在远远超过已知威胁,成为企业网络安全的头号劲敌;同时,网络犯罪分子的犯罪形式也在不断演变升级。

  如今,这一系列的变化与挑战,也驱动着企业的安全运营中心不断向风险分析中心进化。

  与此同时,不同类型规模的企业,在建设企业SOC的过程中,又面临各种不同境况下的不同差异需求,其涉及到技能、成本、投入产出比等一系列因素的考虑。如:大型企业一般会选择自建SOC平台,中小企业或许会选择将SOC业务进行外包等。而最佳的SOC模型选择,最终还需取决于业务和技术的需求、风险和财务的约束等因素。无论选择哪种方式,企业都将面临SOC的建设既要满足业务要求、技术要求,又要能够有一定的风险承受能力和承担财务限制的挑战。

  那么,现代的安全运营中心,又应是怎样的呢?

  在IBM security看来,SOC最初的诞生,便是由于随着越来越多的企业自身安全设备录入的日志、以及来自外部的各种威胁情报日益呈指数级增长,如何将这些情报有效关联、利用起来,从而有效对抗威胁而出现的。即用一个安全运营中心平台,将所有设备与平台汇聚到一起,关联分析、发现问题,分析出事件处理流程并进行响应,这也是企业建设安全运营中心的根本目的。

  但如今,随着新的威胁演变和挑战不断演进,传统SOC已经跟不上不断变化的网络安全环境。如何从无序的信息中找出隐藏在网络中的隐蔽威胁?分析员如何在一堆相似的数据中寻找到威胁点?缺乏可操作的情报、领导将如何做出决策?众多源头的海量数据,又如何将其关联在一起进行分析?

  由此,就要求企业能够一个高效的SOC,不仅要负责起企业安全监控,还要协调对于威胁的抵御、检测和响应各种安全事件,并能够做到高优先级的区分,以及对威胁的优先处理、要能够将外部情报和企业自身参数这些信息数据中的要素提取出来。这就催生了对SOC设计和持续管理的范式转变。

  IBM Security认为,一个SOC的建设步骤,应包含:SOC架构设计、SOC流程与组织设计、SOC Use case设计、SIEM实施与整合、安全事件响应与Ticketing设计、威胁情报功能设计与实施、SOC报告设计与实施、测试试点与运行等步骤。同时,SOC组织是也围绕着标准、建设和运行模型来组建的,其技术基础是以SIEM安全分析平台为基础。

  在IBM Security提供的SOC解决方案中,IBM QRadar 作为最先进的安全分析平台,也是SOC的大脑,具备从数百个来源中获取数百万个数据点的能力,从而能帮助企业借网络洞察、用户行为和人工智能之力,识别清晰的问题信号,让分析师能够专注于最直接和最危险的威胁,并快速进行响应。

  据调查显示,IBM QRadar具备四大关键优势:易于使用,其基于 Web 的用户界面突出显示最重要的威胁,让调查和补救快速高效;高可扩展性,其可与 IBM 和第三方解决方案实紧密集成,快速实现大规模行动部署;灵活性强,无论是客户、开发人员、还是合作伙伴,都可以共享最新应用与扩展功能,避免复杂添加;全局可见,IBM QRadar高可见的单一控制台指挥中心,能够做到清晰洞察全局网络、应用、用户活动 。这些优势,正是促成企业选择IBM QRadar的重要原因。

  而除了具备分析响应的功能外,IBM QRadar 还可与 IBM i2 和 IBM Resilient 相结合,为安全运营提供集成的解决方案,进行联动的狩猎和响应,帮助分析师将海量复杂的数据转化为可采取行动的情报,实现主动出击和更强防护。因而,IBM QRadar也具备从传统基础设施到云端的环境可视性。作为最先进的安全分析平台,QRadar也在 2017 年 Gartner 最新公布的“安全信息与事件管理魔力象限”报告中,连续 9 年再度获评领导者。

  除了最关键的“大脑”部分, IBM SOC的实力还展现在其全球能力方面。通过对全球超过300个安全运营中心的知识积累,IBM 获得了构建和运行SOC的最佳实践。据了解,IBM自身在全球拥有10个安全运营中心,在全球遍布1400多个安全托管服务客户,每天处理190亿条安全日志。在这些实践基础之上,IBM认为SOC的构建和运行,需要跨部门治理,并能做到有效的预防、检测和响应。

  同时,对于SOC的发展,IBM Security认为未来SOC要采用机器学习、人工智能的模式来帮助企业进行快速分析。这是因为,在IBM Security看来,整个安全防御生命周期,有两个阶段可以加快威胁分析的速度提升:一是在数据的分析阶段,一是在响应阶段。

  于是,在IBM的SOC解决方案中,加入了嵌入式的智能和应急响应的平台,采用自动化方式让SOC运转方式更加快。通过使用Watson,替代了过去传统利用千万的人工去分析的模式,用人工智能方式,能够很快筛选海量数据,效率提高很多。其次,通过与Resilient这一全自动化的工单处理模块关联,安全事件响应平台能够快速将系统和技术进行整合,其也将会提高整个SOC响应的速度。Watson和Resilient平台的加入,加速了IBM SOC的认知和自动化工作的流程,由此一来,人工只在某些关键岗位做一些工作即可。

  总而言之,未来的SOC将是融合的SOC,作为成熟的安全运营中心,其将有能力超越传统威胁管理,成为新的管理一系列业务风险的协调点。从而也将成为企业网络安全防御的有力保护解决方案。

第 1 /  10 页
点击查看余下全文