要想獲取態勢感知能力，先要建設好SOC體係——C·S4 安全圈兒的頭腦風暴

目前，全國網絡安全態勢感知建設進入白熱化，在摸著石頭過河的建設過程中，我們既沒有達到國家和行業監管部門的要求，也不能幫助企業在信息安全技術上、管理上個運行上解除隱患和安全漏洞。負責過教育部、民政部、安監總局和省公安廳及教育廳等部委的態勢感知項目建設的安恒信息資深解決方案架構師李劍鋒表示：“目前的網絡安全態勢感知建設抓不住重點，成了為了建設而建設的局麵。”

 

今年8月，安全牛發布了《新一代SOC研究報告》（包含技術和市場指南），並以此為契機，聯合六家在“新一代SOC和態勢感知”領域有著領先技術思路和可觀市場占有率的安全廠商，舉辦了第四屆C·S大會。大會主要目的就是集合安全圈兒力量，徹底了解安全態勢感知的本質，以及探討在當今時代我們需要重點關注的感知技術和重點建設的內容。

 

 

實際上態勢感知的“前世”是應用於軍事領域，幫助友方、敵方的行動進行及時、精確的評估，並服務於跟高層決策的製定”。安恒信息資深解決方案架構師李劍鋒在會上表示：“今日，態勢感知已經是網絡安全的基本和基礎性工作，是在實現安全態勢‘理解’和‘預測’之前的重要階段。”

 

“態勢感知”需要具備從多元、異構的安全數據中采集出足夠且有效的安全要素的能力，再通過關聯分析和數據挖掘，獲得當前網絡局部或整體的安全態勢信息，並利用曆史數據和相關模型進行態勢預測。可見，“態勢感知”概念本身覆蓋感知、理解和預測三個層次，還要根據環境的變化，動態、快速的做出判斷和處置決策。作為態勢感知能力構建的基礎，SOC（Security Operations Center安全管理平台）的構建工作也是目前企業的網絡安全體係工作重點。

 

幾乎所有大型企業或機構的IT係統中都會有SOC，它是網絡安全防護體係從設備部署到係統建設，再到統一管理這一發展過程的自然產物。但在國內的實際應用中，SOC的問題多多，包括數據類型不全；不具備海量大數據存儲分析和處理的能力；和專業安全人才的匱乏等。這些問題導致安全運維或分析人員很難從中發現真正的異常網絡行為，令SOC名存實亡。

 

360認為安全應由數據驅動，其新一代SOC（360 NGSOC）最重要的特點之一就是依靠對本地全量數據的采集和分析，最終形成一個由數據驅動的縱深防禦體係；在威脅發現方麵，NGSOC基於的是情報+規則關聯+機器學習+統計行為分析的方法，以多維度數據為基礎，結合雲端大數據平台產生的高價值威脅情報，即雲地協同，真正幫助客戶精準命中高級威脅；最後，360 NGSOC與360的終端（天擎）和防火牆（天堤），同時開放API接口，形成智慧協同，利於整體安全態勢感知的呈現，輔助管理層的決策。360企業安全集團副總裁韓永剛補充強調，在安全運營中，對“人”要特別關注。“數據驅動、產品協同”的技術機製，和“以人為核心”的運營機製，應達到協同。

 

 

安恒信息的態勢感知能力構建思路相似，李劍鋒介紹表示，安恒信息依靠大數據技術的安全分析能力，進一步強化安恒自身的分析建模、異常行為關聯分析等方麵的突出能力，可以幫助企業實現可檢測、可預警和可處置的態勢感知能力。

 

瀚思科技也從數據入手，其大數據安全平台通過技術創新，並整合人工智能、人機交互等前沿技術，能夠有效的解決企業的安全難題。瀚思科技公司產品副總裁周奕指出：“隨著企業網絡邊界的擴大、各類安全威脅層出不窮、傳統的安全防護已不能有效解決企業的安全問題。”深信服安全感知產品總監王金紅也補充：“碎片化的局部安全建設方式無法應對高級威脅，以防禦為核心的傳統安全體係麵臨巨大挑戰。”因此，企業對能夠使全網安全狀態可視、並及時進行預警和響應的安全平台的需求，是非常迫切的。

 

 

深信服建議企業對自身IT資產和業務邏輯進行梳理，利用威脅情報進行實現威脅檢測，並參考對攻擊行為的分析，來評估用戶網絡的安全態勢。深信服采用三級響應機製，包括通過下一代防火牆平台的網絡側的自動阻斷，上網行為管理對用戶/員工的提醒和在終端的掃描/查殺工具，專家服務幫助進行威脅分析和應急響應。

 

 

蘭雲科技產品總監趙濤指出，以往的SOC以傳統日誌管理和事件關聯為核心，已不能跟上網絡安全領域技術的發展，蘭雲科技的SOAPA（安全運作和分析平台）架構以“反惡意軟件沙箱”為核心，覆蓋包括進程行為、用戶行為、內存行為等30餘個檢測指標。除了可對係統內核和網絡行為進行監測的係統級沙箱外，還包括可找出針對特定應用特定版本開發的惡意軟件的應用級沙箱。

 

 

以教育行業為例，新華三集團安全產品線高級產品經理田浩博介紹到，安全管理規範缺失、安全建設不成體係、安全運維能力薄弱等等問題，導致一旦發生網絡安全事件，就會引起嚴重後果。基於此，新華三認為態勢感知平台的核心能力，應包括：基於安全大腦（由機器學習和專家係統構建）的威脅智能分析、“雲-網-端”架構的協同響應、風險態勢的主動多多維預測、以及業務風險等多維度的安全可視化呈現。新華三的解決方法是通過在高校部署新一代態勢感知係統，智能學習並不斷優化用戶行為、異常流量和威脅攻擊等基線模型，主動發現網絡安全威脅，預測安全趨勢，打造雲網端立體防禦體係，幫助高校做好複雜環境下的網絡防護。

 

 

總結來看，未來，安全態勢感知在SOC係統之上將定位在安全大數據中心，進行標準化和集中化的數據采集與存儲，具備雲平台的安全防護和監管能力的同時聚焦更深度的態勢分析，以及網絡中全安全設備的通報和預警。