1、 等保2.0背景下安全管理中心（SOC）的建設(shè)方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc13032023 1.SOC的概念 PAGEREF _Toc13032023 h 3 HYPERLINK l _Toc13032024 2.SOC架構(gòu)設(shè)計 PAGEREF _Toc13032024 h 5 HYPERLINK l _Toc13032025 3.影響SOC成敗的關(guān)鍵因素有哪些？ PAGEREF _Toc13032025 h 6 HYPERLINK l _Toc13032026 4.在等保2.0的背景下，SOC如何優(yōu)化和調(diào)整？ PAGEREF _Toc13032

2、026 h 7 HYPERLINK l _Toc13032027 5.小結(jié) PAGEREF _Toc13032027 h 8隨著等保2.0的出臺，“一個中心，三重防御” 的思想被反復(fù)提及。其中一個中心的 “安全管理中心” 與我們常規(guī) “安全運營中心（SOC）” 的建設(shè)，在概念和思路上有很多重疊的地方。今天，我們來簡單談?wù)勥^去SOC的建設(shè)中的一些經(jīng)驗以及踩過的坑，并就未來SOC可能的建設(shè)方向進(jìn)行初步探討。SOC的概念SOC是一個面向企業(yè)全網(wǎng)信息處理設(shè)施的集中化的安全管理平臺。SOC集預(yù)警、保護(hù)、監(jiān)控、 響應(yīng)和分析等重要功能于一身， 并集成標(biāo)準(zhǔn)化的管理流程，可以實現(xiàn)持續(xù)的安全運營。而安全信息和事件

3、管理平臺（SIEM）也會常被同業(yè)們一起提及，稱其為SOC的 “大腦”。SIEM作為安全事件和告警、威脅情報的數(shù)據(jù)匯總平臺，承擔(dān)著記錄、分析及響應(yīng)的重要角色，然而，巧婦難為無米之炊，如果采集的信息不足、廣度不夠或維度缺失，那么SIEM也會由于缺乏必要的安全設(shè)備數(shù)據(jù)支持，而難以發(fā)揮應(yīng)有的價值?？梢杂孟旅孢@張圖來簡要表示SOC的運作模式：圖：SOC建設(shè)三要素其中，制度（組織架構(gòu)、規(guī)章、策略、規(guī)劃、預(yù)案、操作規(guī)范等等），流程（安全事件處置流程、應(yīng)急響應(yīng)流程、工單處理流程等等）和技術(shù)平臺產(chǎn)品（各類安全設(shè)備、數(shù)據(jù)采集工具、監(jiān)測、分析、告警等等），三者協(xié)同作業(yè)，流程設(shè)計依賴于制度的合理性和技術(shù)平臺的可實現(xiàn)性

4、，技術(shù)平臺則會對制度和流程起到監(jiān)督補充的作用，而流程則是制度和技術(shù)平臺的銜接。它們之間兩兩相互影響，任何一者的不足都會引起SOC整體運行效果大打折扣。SOC架構(gòu)設(shè)計早期SOC建設(shè)大都是從制度的設(shè)計開始起步的，先制定長遠(yuǎn)規(guī)劃和高階設(shè)計，以獲得公司管理層的認(rèn)可，然后自上而下的推廣實施。這個過程中，最被人詬病的，恐怕是前期很難充分考慮底層數(shù)據(jù)的支撐和一線運營人員的使用需求，也就是大家常說的“沒辦法落地”，導(dǎo)致后期推廣困難，乃至不了了之。與此不同，也有的SOC建設(shè)是由技術(shù)平臺起步，進(jìn)而完善制度及流程的建設(shè)，這屬于比較典型的自下而上的設(shè)計思路，通常由IT技術(shù)或者安全部門直接發(fā)起。這類思路的實施難點通常在

5、于，大家會對于SOC平臺有很高的期待，希望最大限度地在其他系統(tǒng)不做任何改動的前提下，借由SOC平臺解決所有需求和問題。因此，在建設(shè)過程中，特別是涉及到與其他安全廠商/供應(yīng)商的對接、跨部門的數(shù)據(jù)讀取調(diào)用、運營人員使用習(xí)慣改變時，其阻力可想而知。這種場景下的SOC平臺建設(shè)，需要花費大量時間做定制開發(fā)、系統(tǒng)對接的工作，而高層領(lǐng)導(dǎo)和業(yè)務(wù)部門一旦失去耐心、缺少了預(yù)算支持，項目將更加難以展開。諸多實踐下來，比較靠譜的建設(shè)設(shè)計思路，便是以上兩者相結(jié)合，有重點、分階段的實施模式。同時，引入 “安全管理域” 概念，讓非技術(shù)背景的高級管理層更容易理解和接受；在不同的管理域中設(shè)計不同的“指標(biāo)”（這里的 “指標(biāo)” 并

6、不是一個具體的數(shù)值，可以是場景、IoC、use case等），這將有利于后期的落地實現(xiàn)和前端運營人員的理解執(zhí)行。這些指標(biāo)每個都可能涉及一種或多種類型的安全產(chǎn)品，通過閾值定義觸發(fā)告警，或嚴(yán)重的可以自動或手動升級為安全事件，進(jìn)而啟動事件處置流程，從而把整個SOC運行起來。影響SOC成敗的關(guān)鍵因素有哪些？我們發(fā)現(xiàn)，實際上影響SOC成功與否的因素是多方面的，每家企業(yè)會遇到不同的難點，印象最深的一句話是 “我們公司比較特殊，可能與其他企業(yè)不太一樣”，這里也僅是列舉個人理解下值得關(guān)注的幾點：A. 來自高級管理層的持續(xù)支持對項目非常重要。SOC的完整建設(shè)周期一般都相對較長，在此過程中管理層的人員或意志變動帶

7、來的風(fēng)險可能對項目造成難以估量的影響。曾聽說行業(yè)里的一個項目，由于對方CIO人員變動，新的CIO執(zhí)意更換SIEM產(chǎn)品，導(dǎo)致項目團(tuán)隊做了大量額外工作，并最終延期交付。B. 采集數(shù)據(jù)的質(zhì)量將直接影響對最終的分析結(jié)果。目前，本人所了解到的項目中，30%-60%的項目時間會花費在與其它安全產(chǎn)品的對接，以及協(xié)助其他安全產(chǎn)品調(diào)整參數(shù)和配置上，否則采集到的數(shù)據(jù)可能會有誤差和欺騙性，直接導(dǎo)致指標(biāo)的失準(zhǔn)，產(chǎn)生大量的誤報，進(jìn)而影響最終的決策和判斷。站在使用者的角度上，用戶通常會直接認(rèn)為是SOC方案或設(shè)計存在問題。C. 選擇合適的SIEM平臺會對項目產(chǎn)生積極影響。平臺不僅需要采集常見的安全產(chǎn)品日志，對于企業(yè)內(nèi)部的自

8、開發(fā)系統(tǒng)也要能夠支持，盡量減少對接調(diào)試的時間，把更多的精力放在指標(biāo)、制度、流程的設(shè)計上。D. 對整體項目有合理的規(guī)劃和預(yù)期，莫好高騖遠(yuǎn)。還是建議能以 “有效改善現(xiàn)有問題，提升工作效率” 為目標(biāo)，未來人工智能、態(tài)勢感知的實現(xiàn)也離不開基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性，低質(zhì)量的數(shù)據(jù)只能帶來更多的誤報。在等保2.0的背景下，SOC如何優(yōu)化和調(diào)整？我們都看到了等保1.0到2.0的重大轉(zhuǎn)變，由被動防御變?yōu)橹鲃臃烙＃ㄓ嘘P(guān)等保2.0的解析請點擊： HYPERLINK /s?_biz=MzU1MzEzMzAxMA=&mid=2247483862&idx=1&sn=c9f4812c4f9afd0fa327b7d60d65456

9、7&chksm=fbf6376bcc81be7d97d092f02bb36d258c6d9c191e89722c627454a2f758e1ff4ec5cc6e5f20&scene=21 l wechat_redirect t _blank 等保2.0時代正式開啟，為你詳解網(wǎng)絡(luò)安全新規(guī)則（上）、 HYPERLINK /s?_biz=MzU1MzEzMzAxMA=&mid=2247483870&idx=1&sn=30193eeac271d28214be443ff83b1e54&chksm=fbf63763cc81be75ac23256c9379a856c42ad92d8bb234a523cfd2

10、2cb1385552a41cbe572ff7&scene=21 l wechat_redirect t _blank 等保2.0時代正式開啟，為你詳解網(wǎng)絡(luò)安全新規(guī)則（中）、 HYPERLINK /s?_biz=MzU1MzEzMzAxMA=&mid=2247483882&idx=1&sn=d3c08c0c5fde0422f0e8374020022ff6&chksm=fbf63757cc81be41a194e47bd5b232cc5c301bb5bdb3fd8afa390ca4271bc09a03137d1b69f6&scene=21 l wechat_redirect t _blank 等保2

11、.0時代正式開啟，為你詳解網(wǎng)絡(luò)安全新規(guī)則（下）由于可信驗證模塊的加入，很多之前依賴SOC監(jiān)控和分析的行為，可以部分交由可信驗證模塊去完成。SOC的關(guān)注點則可以相對更側(cè)重于關(guān)注其他安全產(chǎn)品的服務(wù)可用性和等保2.0提出的五大新應(yīng)用場景（包括云計算、工業(yè)控制系統(tǒng)、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)）的設(shè)計。其次，等保2.0對SOC提出了更高、更具體的要求，在傳統(tǒng)SOC的告警功能基礎(chǔ)上，還進(jìn)一步提出了 “有效阻斷”、“動態(tài)關(guān)聯(lián)感知” 的要求。這就要SOC不僅要有能力采集和解析不同類型格式的日志，還需要有與其他安全設(shè)備接口進(jìn)行對接交互的協(xié)作能力。這不但需要其他的安全設(shè)備廠商來配合，更重要的是SOC的權(quán)限將因此擴大，甚至獲得了操控其他安全設(shè)備的能力，那么這個數(shù)據(jù)交互接口將極可能會成為未來黑客攻擊的重要目標(biāo)。因此，SOC自身的安全性需要比之前更加堅固。最后，必須指出的是，其實業(yè)界大多數(shù)的SOC產(chǎn)品在幾年前已基本上進(jìn)入了主動防御的階段。而且，態(tài)勢感知、人工智能的引入，在某些場景下也取得了很好的試點效果。如何與可信模塊進(jìn)行對