威胁演进之下 企业需要怎样的SOC?

2018-05-07 16:32:00 作者:baojj 出处 : 比特网

  我们所处的时代,面临着前所未有的网络安全威胁。纵观全球,移动互联网大数据云计算、人工智能等一系列新技术的飞速兴起与发展应用,让企业的网络安全环境面临着巨大的变化:

  数字化正全面改变着商业运作模式,企业面临着前所未有的数字化转型机遇与挑战;随着云计算技术的广泛应用,时代的基础架构及相关监控正逐渐向同质化产品演变;对于一系列网络安全威胁而言,越来越多的未知威胁正在远远超过已知威胁,成为企业网络安全的头号劲敌;同时,网络犯罪分子的犯罪形式也在不断演变升级。

  如今,这一系列的变化与挑战,也驱动着企业的安全运营中心不断向风险分析中心进化。

  与此同时,不同类型规模的企业,在建设企业SOC的过程中,又面临各种不同境况下的不同差异需求,其涉及到技能、成本、投入产出比等一系列因素的考虑。如:大型企业一般会选择自建SOC平台,中小企业或许会选择将SOC业务进行外包等。而最佳的SOC模型选择,最终还需取决于业务和技术的需求、风险和财务的约束等因素。无论选择哪种方式,企业都将面临SOC的建设既要满足业务要求、技术要求,又要能够有一定的风险承受能力和承担财务限制的挑战。

  那么,现代的安全运营中心,又应是怎样的呢?

  在IBM security看来,SOC最初的诞生,便是由于随着越来越多的企业自身安全设备录入的日志、以及来自外部的各种威胁情报日益呈指数级增长,如何将这些情报有效关联、利用起来,从而有效对抗威胁而出现的。即用一个安全运营中心平台,将所有设备与平台汇聚到一起,关联分析、发现问题,分析出事件处理流程并进行响应,这也是企业建设安全运营中心的根本目的。

  但如今,随着新的威胁演变和挑战不断演进,传统SOC已经跟不上不断变化的网络安全环境。如何从无序的信息中找出隐藏在网络中的隐蔽威胁?分析员如何在一堆相似的数据中寻找到威胁点?缺乏可操作的情报、领导将如何做出决策?众多源头的海量数据,又如何将其关联在一起进行分析?

  由此,就要求企业能够一个高效的SOC,不仅要负责起企业安全监控,还要协调对于威胁的抵御、检测和响应各种安全事件,并能够做到高优先级的区分,以及对威胁的优先处理、要能够将外部情报和企业自身参数这些信息数据中的要素提取出来。这就催生了对SOC设计和持续管理的范式转变。

  IBM Security认为,一个SOC的建设步骤,应包含:SOC架构设计、SOC流程与组织设计、SOC Use case设计、SIEM实施与整合、安全事件响应与Ticketing设计、威胁情报功能设计与实施、SOC报告设计与实施、测试试点与运行等步骤。同时,SOC组织是也围绕着标准、建设和运行模型来组建的,其技术基础是以SIEM安全分析平台为基础。

  在IBM Security提供的SOC解决方案中,IBM QRadar 作为最先进的安全分析平台,也是SOC的大脑,具备从数百个来源中获取数百万个数据点的能力,从而能帮助企业借网络洞察、用户行为和人工智能之力,识别清晰的问题信号,让分析师能够专注于最直接和最危险的威胁,并快速进行响应。

  据调查显示,IBM QRadar具备四大关键优势:易于使用,其基于 Web 的用户界面突出显示最重要的威胁,让调查和补救快速高效;高可扩展性,其可与 IBM 和第三方解决方案实紧密集成,快速实现大规模行动部署;灵活性强,无论是客户、开发人员、还是合作伙伴,都可以共享最新应用与扩展功能,避免复杂添加;全局可见,IBM QRadar高可见的单一控制台指挥中心,能够做到清晰洞察全局网络、应用、用户活动 。这些优势,正是促成企业选择IBM QRadar的重要原因。

  而除了具备分析响应的功能外,IBM QRadar 还可与 IBM i2 和 IBM Resilient 相结合,为安全运营提供集成的解决方案,进行联动的狩猎和响应,帮助分析师将海量复杂的数据转化为可采取行动的情报,实现主动出击和更强防护。因而,IBM QRadar也具备从传统基础设施到云端的环境可视性。作为最先进的安全分析平台,QRadar也在 2017 年 Gartner 最新公布的“安全信息与事件管理魔力象限”报告中,连续 9 年再度获评领导者。

  除了最关键的“大脑”部分, IBM SOC的实力还展现在其全球能力方面。通过对全球超过300个安全运营中心的知识积累,IBM 获得了构建和运行SOC的最佳实践。据了解,IBM自身在全球拥有10个安全运营中心,在全球遍布1400多个安全托管服务客户,每天处理190亿条安全日志。在这些实践基础之上,IBM认为SOC的构建和运行,需要跨部门治理,并能做到有效的预防、检测和响应。

  同时,对于SOC的发展,IBM Security认为未来SOC要采用机器学习、人工智能的模式来帮助企业进行快速分析。这是因为,在IBM Security看来,整个安全防御生命周期,有两个阶段可以加快威胁分析的速度提升:一是在数据的分析阶段,一是在响应阶段。

  于是,在IBM的SOC解决方案中,加入了嵌入式的智能和应急响应的平台,采用自动化方式让SOC运转方式更加快。通过使用Watson,替代了过去传统利用千万的人工去分析的模式,用人工智能方式,能够很快筛选海量数据,效率提高很多。其次,通过与Resilient这一全自动化的工单处理模块关联,安全事件响应平台能够快速将系统和技术进行整合,其也将会提高整个SOC响应的速度。Watson和Resilient平台的加入,加速了IBM SOC的认知和自动化工作的流程,由此一来,人工只在某些关键岗位做一些工作即可。

  总而言之,未来的SOC将是融合的SOC,作为成熟的安全运营中心,其将有能力超越传统威胁管理,成为新的管理一系列业务风险的协调点。从而也将成为企业网络安全防御的有力保护解决方案。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。