大型组织SOC分级建设构想

来源:用户上传      作者:

　　摘要：本文介绍了SOC基本概念，阐述大型组织分级建设SOC必要性的基础上，构想了SOC分级体系结构，并从能力建设、数据流动、协同处置和自身安全等视角说明了SOC分级建设的几个要点。
　　关键词：SOC;安全运营中心;IT资产
　　中图分类号：TN915.05          文献标识码：A
　　SOC（Security Operation Center）即安全运营中心，是指以资产为核心，以安全风险、安全威胁管理为关键流程，收集各类安全设备及资产的安全事件和日志信息，通过分析及时反映资产的安全状态，协助安全人员进行风险分析、事件分析、预警管理和应急响应处置的集中安全运营系统。从本质上讲，SOC不只是一款单纯的产品，而是一个复杂的系统，它包含产品、服务和运营，是技术、流程和人的有机结合。而SOC产品是SOC系统的技术支撑平台。当前，48.5%的部委机关和56.3%的中央企业已经部署和使用了安全运营中心，并有效提升了安全管理效率，如安全事件的平均响应时间，从3年前的平均3天左右，降低到现在1 h以内。实践已经证明了SOC在网络安全建设中的作用，但对于大型组织来说，一个单一的安全运营中心很难满足需求，需要考虑多个SOC分级建设的问题[1]。
　　1 分级建设必要性
　　1.1 降低单点性能的需要
　　大型组织的IT资产种类多、数量大，构建单一SOC很可能在网络吞吐、处理能力、数据存储等方面面临困难。通过分级部署，可以将任务分割，处于最下级的SOC只负责本级IT资产的安全运营和安全事件的向上通报;处于上级的SOC除了本级IT资产的安全运营之外，接收下级SOC安全事件的通报。这样可大幅降低单个SOC的性能需求。
　　1.2 确保权责匹配的需要
　　大型组织往往有自己的网络安全部门，位于不同层级的安全团队有不同的安全权责。如果只建一个总的SOC，下级安全团队很难借助SOC的力量实施安全运营，容易导致权责不匹配、运营效率低下的问题。实施SOC分级建设，各级安全团队在承担相应安全责任的同时，可有效利用本级SOC实施安全运营，达到权责的匹配和平衡。
　　1.3 能力分级建设的需要
　　对于安全部门来说，不同层级的安全团队，其职责和能力要求是不一样的。对于SOC的建设也是如此，针对不同层级的实际情况，可进行定制化建设。针对下级SOC来说，可取消没有条件或者没必要建设的内容;而对于最上层的SOC来说，可加大建设力度，积极建设大数据、机器学习、威胁情报等核心高阶能力。
　　2 SOC分级体系结构
　　图1左侧是三级SOC的示意，在实际应用中，具体层级数量根据各组织的实际情况划定。图1右侧是单个SOC平台的层次模型，位于最底层的是信息探测收集层，其功能是通过主动探测或者被动接收的方式，收集汇聚资产、漏洞、日志、告警等安全信息;接口层的功能是针对不同类型的安全信息，提供相应的对接接口，确保数据的完整采集;分析层的功能是对各种数据进行关联处理和基于资产的映射;应用层的功能是实现SOC的各种界面交互和响应的模块，为用户提供方便的操作、管理接口。
　　信息探测收集层的功能模块可以是SOC内部集成，也可以由外部其他安全产品实现，如漏洞扫描功能可以集成到SOC内部，也可以由外部独立的产品实现。如果由外部产品实现，则该产品需要将扫描结果推送给SOC。对日志类信息，主要依靠外部产品的推送，如主机安全日志、防火墙日志、Web访问日志等。此外，下级SOC也需要将部分分析结果推送给上级SOC，上级SOC也需要将一些管理信息推送给下级SOC，从而实现安全信息在全局范围内的流动。
　　接口层的功能是，对于主动探测得到的信息，按预先定义的格式进行存储;对于外部产品推送的信息，则进行格式解析后进行存储。如果SOC平台还要整合第三方产品，则需要第三方厂商提供相应接口或者具体的数据格式。若第三方厂商未能提供相关信息，则需要人工分析后进行对接。
　　分析层除了各类分析技术的实现外，还有对应的安全知识库。分析技术有关联分析、规则比对、机器学习等，而安全知识库涉及关联规则库、漏洞信息库、威胁情报库、响应处置流程等。其中关联分析主要根据分析对象的属性特征和相应规则进行关联性分析，进而得到网络安全威胁告警、用户行为特征、攻击者画像等信息;规则比对主要利用规则库去匹配流量特征，从而发现可疑行为;机器学习则在大数据的基础上，运用各种算法实现对已知威胁的定位和未知威胁的预测。
　　应用层的核心是各类信息的展示和运营流程的辅助管理，如角色管理、资产管理、风险管理、响应处置管理、分析查询、报表生成、系统维护等。应用层的功能应该突出管理性和易用性，管理性是指能够辅助安全运维，实现相关事务的闭环管理;易用性是指界面简洁美观、操作方便快捷。
　　3 分级建设要点
　　SOC分级建设是一个复杂的系统工程，需要综合考虑资金投入、人员配备、上下级联动、权责划分等问题，本文没有对相关问题进行面面俱到的阐述，主要对其中可能涉及的关键问题进行分析，具体有以下4点。
　　3.1 能力分级、按需建设
　　McAfee[2]在《扰乱破坏者是技能还是科学？——了解威胁追踪人员的角色以及网络安全领域SOC的持續演变》文章中，将SOC建设从低到高分成0～4五个成熟度级别，不同级别对应了不同的安全能力水平，具体如表1所示。对于分级建设的SOC来说，不同层级的SOC可对照不同的级别要求进行建设，各层次的功能模块也可综合各种因素进行针对性选择。对于最上层的SOC，安全团队可充分发挥拥有全局数据的优势，借助大数据、机器学习等技术，分析全局安全态势和威胁情报信息，并将相关成果转化成策略下发至下级SOC。
　　3.2 数据汇聚和策略分发 　　下级SOC产生的威胁信息，向上级SOC推送。因此从逻辑上看，下级SOC是上级SOC信息探测收集层的功能模块。具体推送内容并不固定，可根据需要进行选择定制，通常包括运行状态、恶意文件/流量、告警信息、流量统计信息等;上级SOC汇聚所有下级SOC的数据，形成整个组织的安全大数据，为后续的深入分析提供基础。此外，上级SOC可以将新增的安全策略、规则等分发到下级SOC，实现全局的同步更新。
　　3.3 协同联动、快速处置
　　不同层级、同一层级的SOC之间既要明确分工职责，又要建立通畅快捷的协同联动机制。对于明确属于本SOC内部解决的问题，应尽量不动用其他SOC的资源，但是处置完毕之后形成的成果，应快速共享至其他SOC，以促进效益的最大化。对于涉及多个SOC的安全威胁，则通过人员协作和数据共享等方式，共同解决，形成的成果同样需快速共享至其他SOC。共享的方式一般是上报至最上层的SOC，然后由最上层逐级下发[3]。
　　3.4 确保系统自身安全
　　SOC作为安全运营的中心，应确保自身的安全性，避免成为被攻击的目标。要做好自身安全，应当从以下几个方面着手：一是规范开发流程，进行代码审计，确保系统的原生安全;二是上线之前开展渗透测试，发现潜在安全漏洞和攻击路径，并及时整改;三是充分考虑身份认证、权限控制和通信加密问题，避免攻击者针对系统开展服务器伪造、越权访问、数据污染等攻击。
　　4 结语
　　对于大型组织来说，要持续维持整个网络和所有信息系统的安全是个艰巨的任务。SOC分级建设有利于安全资源的合理分配和投入，也增加了建设部署的灵活性和可行性。在实际建设和运营过程中，各SOC之间的协同联动、数据共享是建设的重点和难点，也是提升安全运营效率的关键，需要深入分析组织的实际情况，制定针对性的规范化制度流程，并在实践中不断调整完善。
　　参考文献
　　[1] 安氏互联网安全系统（中国）有限公司.网络安全管理中心系统平台建设方案建议.（2018-10-17）[2019-06-24]. https：//wenku.baidu.com/view/2370b9a227fff705cc1755270722192e45365894.html.
　　[2] McAfee.Disrupting the disruptors，art or science？[EB/OL]（2017-09-07）[2019-07-16] https：//www.mcafee.com/enterprise/en-?us/assets/reports/restricted/rp-disrupting-disruptors.pdf.
　　[3] 尹夢洁，JIE Y M.中国电信SOC平台建设方案[J].湖南邮电职业技术学院学报，2013，12（4）：19-23.
转载注明来源:https://www.xzbu.com/1/view-15174558.htm