SOC 2.0：下一代安全運營中心先睹爲快【轉載】

SOC 2.0：下一代安全運營中心先睹爲快
http://www.techweb.com.cn 2010.12.23 14:03 51CTO.com (0條評論)


　　【51CTO 11月29日外電頭條】儘管大企業耗巨資用在技術上、花大量時間用在安全防禦上，還是繼續受到***的***和惡意軟件的感染，情況之嚴重前所未有。很顯然，傳統的安全方法解決不了問題。

　　考慮到這個嚴峻的現實，許多安全專業人員及爲他們服務的廠商已開始在看待解決IT安全問題的方法方面進行一些緩慢而根本性的變化。專家們表示，而由於這些變化，將來大企業的安全部門、特別是安全運營中心（SOC）的工作方式可能與今天全然不同。

　　安全諮詢公司Securosis的創始人Rich Mogull說："SOC中的人員需要設法作出更快速、更合理的反應--他們需要設法提高工作效率，需要設法縮短開始遭到***與阻止或消除***之間的時間。"

　　爲了獲得這樣的效率，企業可能需要在考慮安全的角度和花費時間的方式上作一些根本性轉變。我們不妨看一看安全理念的一些變化，以及這些變化會給明天的SOC在將來的活動帶來怎樣的影響。

　　明天的SOC會花更多的時間用於安全分析，花更少的時間用於邊界防禦。

　　專家們表示，"防禦企業邊界"的傳統理念漸漸過時了。由於用戶變得移動性更強，而企業變得更相互依賴，某一家企業的"安全邊界"正變得越來越難定義，想做到防禦幾乎是不可能的。

　　思科系統公司主席辦公室高級副總裁兼首席執行官Don Proctor說："2007年，估計全球有大約5億個與網絡連接的設備。到2010年，這個數字將猛增到350億個--相當於地球上每個人有5個設備。我們無法通過全部在端點處給它們打補丁的辦法來確保安全。我們不得不向邊界道別。"

　　實際上，一些安全專業人員、甚至一些廠商在擯棄這個基本理念：邊界是完全可以防禦的。新的理念是：企業會受到危及，很可能已經受到了危及。

　　安全廠商NetWitness的首席執行官兼白宮前網絡安全顧問Amit Yoran說："目前，安全團隊無法確信某個主機沒有遭到危及--壞人已經潛入到你的環境裏面。所有真正嚴重的威脅已經潛入在網絡裏面。"

　　儘管不是所有的安全專家都認同這種理念，但大多數一致認爲，明天的安全團隊用於分析日誌和事件的時間肯定至少與目前用於建立邊界防禦機制的時間一樣多。這意味着會更多地關注安全分析、調查取證和事件響應。

　　安全信息和事件管理（SIEM）工具開發商SenSage的首席執行官Joe Gottlieb說："將來，SOC中的人會發現，他們會把更多的時間用於分析數據，而不是用於分析安全。他們會加大數據挖掘方面的工作量，以查明問題根源。他們會更加關注'你遭到了******。現在怎麼辦？'"

　　明天的SOC會花更多的時間用於確認新的未知威脅，花更少的時間用於將已知威脅列入黑名單。

　　連反病毒廠商現在都認同這個觀點：圍繞已知***的"特徵"（signatures）構建安全防禦機制的理念並不是什麼有效的長久之計，而率先提出這個理念的正是反病毒廠商。

　　賽門鐵克技術和響應部門的主管Gerry Egan最近發佈該公司新的基於聲譽的安全工具Ubiquity時說："十年前，我們每週可以識別出需要列入黑名單的5到10個新病毒。而現在，我們每天識別出的新特徵多達1萬到5萬個。原來基於特徵的模式變得有點過時了。"

　　專家們表示，雖然基於特徵的技術會繼續是企業安全戰略的一個部分，但明天的SOC的分析人員會將更多時間用於找出網絡和系統行爲方面可能表明有新***的變化。新興技術有望改進檢測零日威脅的能力，比如賽門鐵克的Ubiquity、Dasient的Web Anti-Malware和FireEye的惡意軟件防護系統，那是因爲它們會竭力識別出行爲和聲譽方面的變化，而不是關注已知威脅。

　　Dasient公司的聯合創始人兼首席技術官Neil Daswani說："由於如今的惡意軟件與日俱增、不斷變化，如果你還是試圖完全通過***的特徵來加以防範，那麼註定會失敗。我們的觀念必須由關注代碼是什麼樣轉變成代碼幹什麼事。"

　　專家們表示，這意味着，下一代SOC的工作人員很可能會把比以往更多的時間用於分析惡意軟件，甚至用於研究惡意軟件。Mogull認爲，明天的SOC需要根據惡意軟件的特徵，確定一系列獨特的關聯活動，從而實際上建立了專門針對特定威脅、風險和業務敏感性的一種威脅分析環境。

　　Mogull表示，下一代SOC還需要一種更合理的方法，以便迅速分析可能表明有新威脅的行爲數據，並將其上報、列到安全團隊的優先事項列表的首位。他表示，許多SOC會編寫定製的腳本和用戶接口，以便有助於使上報過程實現自動化，並加快分析和解決潛在安全問題的過程。

　　明天的SOC會花更少的時間用於聚合事件，花更多的時間用於進行主動監控和智能化關聯安全數據。

　　多年來，SOC一直以安全信息和事件管理（SIEM）工具爲主；這種工具可以收集網絡上與安全有關的"事件"方面的信息，並將這些信息彙總到一個監控屏幕上。專家們表示，這種工具不會消失，但大多數專家、連SIEM系統廠商自己也都一致認爲，下一代SOC中的安全監控必須變得比現在更智能化。

　　SIEM廠商SenSage的Gottlieb說："目前的安全監控環境只能讓你大致瞭解發生的情況。大多數監控技術不能接受來自任何數據源的數據。即便如此，日誌和SIEM系統中仍有大量數據需要檢查，因此很難把有用數據與干擾數據隔離開來。"

　　Mogull說，數據分析問題沒有變得更容易處理。他說："SIEM中有大量數據，但到頭來它是日誌層數據。將來需要能夠進行網絡層分析，甚至是數據包層分析，而單單一個系統不可能完成所有這些分析。"

　　下一代SOC會需要這種新技術：能將來自衆多安全系統的數據關聯起來，而且有助於一目瞭然地提供數據，讓分析人員能夠更迅速地尋遍大量安全信息，從中找出可能表明有威脅的那部分數據。實際上，SOC將來變得更明智的祕訣不是整合幾個安全系統和應用軟件，而是增強分析人員從許多不同的系統彙集相關數據，並關聯起來查出威脅根源的能力。

　　思科的Proctor說："真正需要的是讓你可以瞭解網絡活動和性能的事件關聯功能，那樣就能知道什麼是'正常'的。如果某檯筆記本電腦以前從來不與外界聯繫，現在突然開始將數據發送到巴西，就需要能夠明白它何時開始發送數據、發送了什麼數據。"他表示，最終，這種關聯功能甚至可以擴展到物理系統，那樣SOC還能識別安全門和監視攝像頭的使用模式。

　　據一些專家聲稱，另外，將來下一代SOC的工作人員會加強主動監控，減弱被動監控。專家們強調，雖然SIEM和事件關聯工具有助於更迅速地查明威脅的根源，但它們還是無法阻止***的發生。

　　"我認爲，實行被動監控、說我們已經遭到***的腔調是一種輕易認輸的表現，而且有點奇怪，"RedSeal Systems公司的營銷副總裁Steve Dauber說，這家公司生產的工具用來測試安全策略的漏洞，並衡量企業的安全狀況。"如果你看一下來自Verizon公司最近的威脅調查報告的數據，會發現大多數威脅之所以會發生，是因爲許多公司沒有采取一些很簡單的措施來確保系統安全。他們需要有更多的方法在威脅發生之前主動查明那些問題，而不是遭到***後再分析。"




　　安全配置管理工具廠商AlgoSec的聯合創始人兼首席技術官Avishai Wool認同這番觀點。他說："我並不認同邊界已死的說法。有許多方法可以更有效地預防***，但我們需要大大提高自動化程度，並且大大改進工具。人們無法配置虛擬專用網（***），現在有許多企業試圖配置***。"

　　RedSeal公司和AlgoSec公司提供的工具都讓企業能夠更有效地評估防火牆及其他安全系統的配置，從而有助於查找安全漏洞，並根據企業安全策略來測試漏洞。這種主動分析和測試，加上傳統的漏洞掃描，目的在於幫助公司在壞人鑽漏洞空子之前，找出安全系統存在的漏洞。

　　Mogull認爲，數據泄漏預防（DLP）等一些現有的工具也有助於找出可能泄漏的地方，預防敏感數據離開企業環境。他說："DLP有時遭到安全人員的批評，原因是一些方法可以繞過它。但事實上，DLP對於過濾出站數據和識別複雜的頑固威脅大有幫助。許多壞人蔘與了威脅事件，但不是所有人都很狡猾。"

　　明天的SOC會花更多的時間用於跟安全服務提供商合作，花更少的時間用於自己單幹。



　　幾乎從各個方面來看，安全威脅的數量和複雜性都在迅猛增長。Dasient公司近日發佈的數字顯示，互聯網上遭到惡意軟件感染的網站超過120萬個，比一年前多了兩倍多。美國計算機行業協會（CompTIA）上週發佈的統計數據表明，在過去的一年裏，近三分之二的企業至少遭到過一次威脅。

　　不過，專門用於IT安全的人力和預算資源幾乎根本未見增長。Gartner公司在今年6月發佈的一項調查中聲稱，安全開支佔IT總預算的比例從2009年的6%減少到了今年的5%。顯然，明天的SOC別指望單單通過增添內部人員和技術，就能夠應對威脅越來越多的環境。

　　專家們表示，由於這個原因，許多企業指望依靠安全服務，幫助自己處理一部分防禦工作。RSA、思科和賽門鐵克等主要安全廠商提供的軟件即服務（SaaS）解決方案越來越受歡迎，而Immunet、FireEye和Invincea等規模較小的新興公司則在圍繞服務、而不是圍繞軟件來發展業務。

　　另一家服務提供商Dasient的Daswani說："現在許多公司明白，部署客戶端技術、不斷打補丁的辦法並非總是管用。我確信，所有合適的端點安全工具甚至到現在還沒有出現在市面上。我們發現，從服務器端關注這些問題確實相當有效。"

　　IDC公司的研究表明，全球安全服務市場將從去年的323億美元，增加到2010年的441億美元。專家們表示，雖然使用其中許多服務的將是中小型企業，但大企業中的SOC也會考慮利用安全廠商收集而來的惡意軟件及其他威脅方面的數據。

　　但專家們表示，這並不意味着SOC工作人員的專長會變得不大重要。實際上大多數專家一致認爲，下一代的安全分析人員一定要比過去更精明--不但要了解當前的威脅，還要了解這些威脅可能會給特定的企業環境帶來什麼影響。

　　SenSage公司的Gottlieb開玩笑說："業界希望給SOC配備廉價勞動力的想法落空了。安全工作不會變得更簡單。將來的安全人員不但需要目前在防禦的領域方面的專長，還要有聯繫上下文的專長，以便確定哪些組合的事件可能會帶來威脅。除此之外，他們還需要有分析專長，以便能夠查明威脅的根源以及如何阻止威脅。"

　　【51CTO.com譯稿，轉載請註明原文作譯者和出處。】

　　http://www.darkreading.com/security/security-management/228300332/soc-2-0-a-crystal-ball-glimpse-of-the-next-generation-security-operations-center.html