一、安全運營(SOC:Security Operations Center)
一般地,SOC被定義爲:以資產爲核心,以安全事件管理爲關鍵流程,採用安全域劃分的思想,建立一套實時的資產風險模型,協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。
本質上,SOC不是一款單純的產品,而是一個複雜的系統,他既有產品,又有服務,還有運維(運營),SOC是技術、流程和人的有機結合。SOC產品是SOC系統的技術支撐平臺,這是SOC產品的價值所在。
二、爲什麼用SOC?
過去我們都讓安全專家來管理各種類型的防火牆、IDS和諸如此類的安全措施,這主要是因爲安全問題一般都發生在網絡中非常具體的某個地點。但是,現在的情況已經變化,安全問題已經不再像當年那麼簡單。安全是一個動態的過程,因爲敵方攻擊手段在變,攻擊方法在變,漏洞不斷出現;我方業務在變,軟件在變,人員在變,妄圖通過一個系統、一個方案解決所有的問題是不現實的,也是不可能的,安全需要不斷地運營、持續地優化。安全措施應當被實施在應用層、網絡層和存儲層上。它已經成爲您的端對端應用服務中的一部分,與網絡性能的地位非常接近。
三、起源
SOC的提出首先來源於安全服務提供商,他們首先提出了可管理安全服務(MSS)概念。從1998~2001年國外SOC發展的大致情況看,SOC發展一直都是作爲服務(中心)和產品(平臺)兩個維度來發展的。現在的SOC究竟是服務還是產品,取決於你的發展策略:
1)SOC可以用於建立MSS運營平臺,成爲MSS的基礎,這個SOC是一箇中心,有固定的場所,有一個SOC技術支撐平臺,有組織人員、有一套運營的流程,爲第三方提供安全管理服務;
2)SOC可以用於建立企業和組織的安全運營中心。這個中心首先要有一套SOC平臺,然後藉助這個平臺,企業和組織進行安全運維。如果僅僅購買一個平臺,而不考慮運維,就像買了一把掃帚而不用,房間是不會自己變乾淨的。
四、業界最終用戶建設SOC安全運營中心的三種方法
1)自建型SOC:自己搭建平臺,建立自己的組織和流程,並進行運維。其中平臺部分,用戶可以自己設計並開發平臺,也可以外購一個技術平臺;
2)外包型SOC:購買MSS服務,租用MSSP(管理安全服務提供商)的SOC,或者叫做安全服務外包,包括租用安全基礎設施;
3)共建SOC:目前比較多見的方式,自己搭建SOC技術平臺,建立核心的組織結構和流程,處理核心的安全問題,然後利用外腦(外包服務)來進行協維、諮詢;該方式是前兩種方式的綜合。
自建型SOC主要涉及SOC的創建和運維,SOC的創建可以參考《Building a Security Operations Center》,運維可參考《How to SOC it to the bad guys》以及。
針對外包型SOC,選擇時除了考慮有強有力的基礎實施、人員、流程和制度管理外,還應該有很好的信譽和資質,能夠給用戶帶來安全感。
五、MSSP如何構建SOC
對於自己搭建SOC安全運營中心,但主要不是自用,而是用它去做MSS的MSSP在構建SOC時同樣要考慮技術、流程和組織三個方面的內容。具體操作的時候,也有兩個方式:
1)自建型MSSP,也就是自己來,以我爲主的方式。可以利用自身現有的積累和優勢,拓展成爲一個MSSP,如國內的安全寶。
2)共建型MSSP,就是幾個人(幾家單位)一起來,各自貢獻自己的優勢,參與方可能包括基礎設施提供商、運維和服務提供商,還有技術平臺提供商,等等。
————————————————
版權聲明:本文爲CSDN博主「西電小西」的原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/niuyisheng/article/details/8986480