SOC的真實價值
當前國內外包括IBM、HP等大安全廠家都宣傳能提供SOC解決方案,而且包裝得如何如何牛B和智能,可以主動對威脅進行響應,對使用人員的技能要求也低等等,果真是這樣嗎?在回答這個問題以前,我們先來將網絡安全與公共安全做個對比,爲什麼選與公共安全進行對比啦,基於兩點理由考慮:1、危害安全的行爲主體都是人,而且過程和模式相似;2、公共安全大家都有所涉及容易說明白。
這裏不去提什麼犯罪行爲學和心理學,那是有關專家搞的事情,下面以進入小區入室盜竊小偷和從外網進入內網盜取用戶資料的***過程做一下分析:
場所對比
小區Vs安全域
小區圍牆Vs防火牆
小區門Vs端口
門衛Vs安全認證
巡邏保安Vs IDS
警察 Vs 專業網絡服務專家
私家警察Vs 企業網絡安全專家
業主 Vs IT系統管理員
事前:
小偷行爲:踩點,觀察主人的出行規律,財產狀況,安保狀況,確定目標,根據安保情況確定實施方案
***行爲:踩點,分析有價值的系統,掃描端口和漏洞,確定目標,根據漏洞和端口情況確定實施方案
事中:
小偷行爲:
首先,騙過門衛,進入小區。一般來說,很多小區是不會詢問進出的人員,除非這個特性太明顯或行爲異常,即使詢問,他們也能輕鬆應付,能比較容易的進入到小區,這好比我們的防火牆安全域間可以互通一樣。
然後,找到目標,根據事先準備的方案進行開鎖,是否能成功取決3個方面的因數:
l 開鎖工具和技術
l 鎖本身的防盜技術
l 是否被人發現
被發現後的情況比較有趣,結果有3個,第一個逃跑,第二個小偷發現發現他的人能力較弱,用工具威脅後仍然完成偷盜,第三種是小偷被擒獲。偷盜成功和前兩種情況比較容易出現,後一種出現的概率較低,等一下再分析原因。
***行爲:
首先,***通過防火牆強的配置弱點進入到內網
然後,先前的踩點,找到目錄主機,採取密碼破解等措施試圖進入到目標主機進行,能否成功也取決3個方面的因數:
l 工具和***技術
l 系統本身的漏洞情況
l 是否被人發現
被發現後的情況比較有趣,結果有3個,第一個停止***,第二個管理員水平比較低,莫可奈何,只有斷網,關機。第三種是小偷被擒獲。前兩種情況比較容易出現,後一種出現的概率較低
對比分析:
爲什麼請小偷和***情況的比率比較低啦,根本原因是業主和IT管理員的實力不足,對小偷和***構不成威脅,畢竟這應該由專業人員來完成,如果想要解決這些問題,加強安保措施和請私人警察和專業網絡安全管理員。
SOC這個過程從是否可以發揮點作用就如同即使監控到小偷非法入室盜竊啦,這個對已知的行爲應該還是有微弱的效果,就像家裏的報警器一樣漏洞百出。說如何能智能防範,主動響應,那都是扯淡。原因在SOC實施的時候IT環境複雜,漏洞多樣性或根本就不清楚,導致***行爲的多樣,不容易寫出通用的分析規則出來。就像你發現簡單的犯罪比較容易,稍微複雜一點,哪麼容易被發現,看看各國的破案率就知道了。
真正還有點用處的是,按照企業規定監控訪問、修改關鍵配置和數據方面有點用處,它可以發現非法訪問受保護的數據和對系統配置的修改。
事後:
業主:
東西丟了這麼辦,那就報警吧
警察:
警察幹什麼,查看現場,尋找指紋,調取監控錄像,收集證據,進入歷史案件庫進行比對,能破案嗎,難說。
IT管理員
賬號被盜怎麼辦,那就請網絡安全專家
網絡安全專家
網絡安全專家登錄防火牆上查看日誌,登錄相關IT系統上查看日誌,登錄到IDS查看日誌,登錄到數據庫上查看日誌,分析安全漏洞,追蹤訪問路徑,如果***水平比較高,將日誌刪除掉了,如果沒有其他地方有訪問記錄,這就成了無頭公案了。從這個分析來看,爲了便於事後調查得有個系統記錄日誌,這好比指紋,光有這個還不行,還應該將說有的數據量都記錄下來,這個好比我們的監控錄像。那麼SOC中的日誌記錄功能就有點用處了。有了這些就可以破案了,未必,即使在所有公共場所安裝上攝像頭也未必能破案,人帶面具怎麼辦?***也可以僞裝,破壞現場。
總結
關於公共安全方面,即使有再齊全的取證措施,又有非常牛B的警察,破不了所有的案件
關於SOC方面,SOC的真實價值在於事後能夠審計去回溯問題,事中在輔助實施企業安全措施和規定,可以監控到非法訪問受保護的數據和非法修改系統配置,還可以爲有經驗的人提供日誌分析工具,僅此而已。個人爲認爲任何擴大SOC安全作用的行爲都是在耍流氓。
關於網絡安全方面,當前安全的發展趨勢是是有實力的廠家都建立起廣泛的網絡安全採集器,從海量的數據中,通過人工或依賴一定工具進行威脅分析,並確認威脅,然後更新威脅庫,並且將這個庫放到網絡上,他們的產品自動從網絡上去更新這個庫,然後取了個洋氣的名字曰:雲安全、雲防火牆、雲IPS、雲殺毒等等。
我認爲安全智能的核心是通過行爲分析自動發現並確定未知威脅,並且能夠主動消除威脅按照這個定義,所以的網絡智能安全方案都是在扯淡。