大部分企业和组织已经从安全的局部建设进入到了整体优化阶段。当前的客户更加关注全网的整体安全,强调从业务信息系统安全风险的角度,而非单一安全威胁和防御机制的角度去更加主动地管理安全。而要做好安全管理工作,就需要一套相应的安全管理体系。在这个体系中除了组织保障和流程保障,很重要的一点就是技术保障。安全管理平台就是一套配合企业和组织建设安全管理体系的技术支撑平台。

一般地,安全管理平台是指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

现有安管平台面临新挑战

当前网络与信息安全领域,正面临着全新的挑战。一方面,伴随大数据和云计算时代的到来,安全问题正在变成一个大数据问题,企业和组织的网络及信息系统每天都在产生大量的安全数据,并且产生的速度越来越快。另一方面,国家、企业和组织所面对的网络空间安全形势严峻,需要应对的***和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。

面对这些新挑战,现有安全管理平台的局限性显露无遗,主要体现在以下三个方面:

wKiom1aBOinw88LnAACLGHo7Ibw107.jpg

  1. 数据处理能力有限,缺乏有效的架构支撑:当前分析工具在小数据量时有效,在大数据量时难以为继,海量异构高维数据的融合、存储和管理遇到困难;

  2. 威胁识别能力有限,缺乏安全智能:安全分析以基于规则的关联分析为主,只能识别已知并且已描述的***,难以识别复杂的***,无法识别未知的***;

  3. 安全预判能力有限,缺乏对抗能力:安全运营以被动应急响应为主,难以对风险进行提前的评估与研判,总是疲于救火。

SOC3.0时代来临

如何应对这些新挑战?如何突破现有安管平台的局限?伴随大数据和云计算时代的到来,安全问题也正在变成一个大数据问题。要应对安全大数据带来的新挑战,还需要用大数据的技术来解决,只有将大数据分析技术充分融合到现有安管平台技术架构中才能使传统的安管平台焕发新生。SOC3.0应运而生。

SOC3.0以大数据分析架构为支撑,以业务安全为导向,构建起以数据为核心的安全管理体系,强调更加主动、智能地对企业和组织的网络安全进行管理和运营。


wKioL1bsxc6imq3FAACRQnIIytY680.jpg

在DT时代, SOC3.0的核心要素是:业务、主动、智能、大数据。

wKiom1bsxVuS-jl7AAEIRcXt4kY346.jpg


业务 用户的业务系统是安全的终极保障对象,以业务为核心的安全就是要从业务四要素(支撑环境、流程、数据和人)出发去保障业务安全,并通过建立指标体系来度量安全效果。

主动 强调构建主动的安全机制,进行前摄性的安全防御,包括集成漏洞管理、配置核查,并引入外部威胁情报,进行积极的安全预警和主动运维。

智能 强调建立起智能化的安全分析能力,既要保留现有基于规则的关联分析,也要利用更加丰富的情境数据(漏洞、情报、身份、资产等信息)进行情境关联,更要借助诸如行为分析、机器学习、数据挖据等技术来做到知所未知。

大数据 大数据时代的安全管理必然是数据驱动的,必须以大数据架构为支撑,基于大数据技术重新构建信息采集、数据融合、事件存储、高级安全分析、态势感知和可视化等安全管理能力。



【后记】

一直从事SOC相关领域的工作,又到了重新定义SOC的时候了,09年前后提出了SOC2.0的理念,那么这次就升级为SOC3.0吧。当大数据分析遇上安管平台,SOC3.0就来了。

下一代安全管理平台(SOC2.0)技术白皮书V1

基于大数据分析的安全管理平台技术研究及应用【摘录】