CS4：新一代SOC與態勢感知大會 六家安全廠商分享核心解決方案

今年8月，安全牛發布了基於全景圖中“SOC/iSOC”子領域廠商所展開調研的《新一代SOC研究報告》（包含技術和市場指南），在業內反響頗為強烈。以此為契機，安全牛在上周四下午，聯合六家在“新一代SOC和態勢感知”領域有著領先技術思路和可觀市場占有率的安全廠商，舉辦了此次C·S大會。

C·S會議之前已舉辦過三屆。眾所周知，C·S大會不講攻防技術，也不談高層戰略，而是專注安全解決方案的分享。演講者麵向的是最終客戶，講的是企業或機構目前亟待解決的安全問題，以及安全能力建設的思路和落地方案。

在去年第三屆C·S“威脅情報解決方案峰會”上，來自360網絡安全研究院、IBM安全、微步在線、白帽匯和安全值的負責人，圍繞威脅情報技術本身、落地及應用，做了詳實的幹貨分享。

今年的“新一代SOC和態勢感知”大會，安全牛邀請了360企業安全、瀚思、安恒信息、深信服、新華三以及蘭雲科技這六家在這一安全細分領域具備技術特點和豐富行業建設應用經驗的安全廠商，介紹他們對SOC和態勢感知的理解以及能力建設思路。核心內容記錄如下：

1 態勢感知的前世、今生與未來

安恒信息資深解決方案架構師 李劍鋒

態勢感知的“前世”是應用於軍事領域，美軍在04年就指出“態勢感知是對現狀的知識和理解，可幫助友方、敵方的行動進行及時、精確的評估，並服務於跟高層決策的製定”。

今日，態勢感知已經是網絡安全的基本和基礎性工作，是在實現安全態勢“理解”和“預測”之前的重要階段。對於多元、異構的安全數據，如何從中采集出足夠且有效的安全要素，再通過關聯分析和數據挖掘，獲得當前網絡局部或整體的安全態勢信息，並利用曆史數據和相關模型進行態勢預測，是今日安全行業“態勢感知”所需具有的重要能力。

網絡技術應用日新月異，所衍生出的安全威脅，也在不斷向技術手段更高級、獲取更高價值數據的方向演進。大數據技術可以提供重要的安全分析能力，基於安恒在分析建模、異常行為關聯分析等方麵的突出能力，幫助企業實現可檢測、可預警和可處置的態勢感知能力。

未來，安全態勢感知將定位在安全大數據中心，標準化和集中化的進行數據采集與存儲，具備雲平台的安全防護和監管能力，並聚焦更深度的態勢分析，以及網絡中全安全設備的通報和預警。

2 大數據安全支持的新一代SOC

瀚思產品副總裁 周奕

邊界、單點防禦已近乎失效的今天，安全運營中心(SOC)的建設已成為大部分企業安全能力建設的重心。這包括安全預防、持續監測、快速響應、溯源取證和風險預警這五方麵能力。

瀚思作為國內知名的大數據安全廠商，擁有22項核心安全專利。從下麵這張產品體係圖中不難看出，基於機器學習和人工智能這一核心能力的大數據平台，以及平台之上對於安全和威脅的理解所積累的專家規則，是瀚思的核心競爭力。

通過對企業內/外部數據的采集和分析，針對外部攻擊、內部威脅和業務欺詐，實現主動、智能的防禦，是瀚思認為新一代SOC的最終目標。

3 NGSOC和態勢感知構建的新一代安全運營體係

360企業安全集團副總裁 韓永剛

數字化轉型這一大背景下，IT基礎設施正在發生變化，安全運營思路甚至是安全體係，也應重新構建。企業安全防禦的重點，應從過去的被動的圍牆式，過渡到主動、動態對抗的檢測和響應上。企業應利用大數據、威脅情報、行為分析等技術，幫助組織對來自內/外部的安全威脅進行研判和溯源。

“數據驅動安全”一直是360網絡安全的核心技術思想。背後，威脅情報和態勢感知能力，以及協同防禦體係的構建，是重要的能力支撐。

360認為，新一代SOC核心能力點在於對威脅的持續監測，包括分析、響應、對安全態勢的評估，以及協同和預防。概括來講，就是“技術”、“流程策略”和“人”。所需的核心技術點包括：

·威脅情報的充分應用；

·深度網絡流量分析；

·終端檢測與響應；

·用戶實體和行為分析；

·追蹤與調查；

·可視化交互分析；

·事件響應；

·自動化協同。

在安全運營中，對“人”要特別關注。沒有技術手段保障的運營機製，和沒有人員參與運營的技術機製，都會失效。“數據驅動、產品協同”的技術機製，和“以人為核心”的運營機製，應達到協同。同時，在安全人才培養方麵，企業要在兼顧培養成本的前提下，考慮企業安全能力所處不同階段，對安全人才能力的不同需求，進行針對性培養。

4 新形勢下的安全感知方案和最佳實踐

深信服安全感知產品總監 王金紅

深信服認為，碎片化的安全體係現狀和攻防的不對等，是目前傳統防禦體係存在的兩個主要問題。因此，企業對能夠使全網安全狀態可視、並及時進行預警和響應的安全平台的需求，是非常迫切的。這個安全平台需要具備以下四點能力：

·對必要且有效數據的主動提取；

·能夠不依賴規則檢測低概率安全威脅；

·基於業務的安全可視；

·多設備的協同聯動響應。

特別在協同響應方麵，深信服采用三級響應機製，包括通過下一代防火牆平台的網絡側的自動阻斷，上網行為管理對用戶/員工的提醒和在終端的掃描/查殺工具，以及幫助進行威脅分析和應急響應的專家服務。

總的來說，企業需要對自身IT資產和業務邏輯進行梳理，利用威脅情報進行實現威脅檢測，並參考對攻擊行為的分析，來評估用戶網絡的安全態勢。

5 態勢感知在高校的落地實踐

新華三集團安全產品線高級產品經理 田浩博

安全威脅多樣、影響範圍廣、邊界防護困難已經成為安全威脅的新常態。特別在教育行業，普遍存在安全技術和管理體係缺乏，運維機製脆弱等問題。目前，高校安全治理的主要任務，在於封堵安全漏洞、治理網站亂象、規範安全管理、和補齊等保短板。為此態勢感知平台要能夠實現風險和資產的可見、可知，和安全問題的快速處置。

基於在高校的落地實踐，新華三認為態勢感知平台的核心能力，應包括：基於安全大腦（由機器學習和專家係統構建）的威脅智能分析、“雲-網-端”架構的協同響應、風險態勢的主動多多維預測、以及業務風險等多維度的安全可視化呈現。對應的技術點，包括能夠對大範圍樣本數據進行分析和趨勢預判的核心安全大腦，基於漏洞、URL、病毒、IP/Web等安全特征庫在網絡邊界的深度報文檢測、用戶行文分析與審計、網絡流量異常檢測，和對內網主句、服務器和數據庫的主動式漏掃。

要實現這些，也就意味著平台要具備完整的數據采集能力，智能的威脅分析能力，和強大的聯動響應能力。

6 入侵事件的高效發現、分析與取證（基於SOAPA架構的智能安全平台）

蘭雲科技解決方案總監 李傳恩

足以湮沒真正有價值威脅警報的告警海洋、傳統特征檢測麵對未知威脅的失效、因為全流量數據存儲能力不足所導致的事後取證困難，是目前安全工作人員所麵臨的三個最主要“困境”。而“脫困之道”，蘭雲科技認為，就在於可以看做是下一代SOC的SOAPA（安全運作和分析平台）架構。

SOAPA是一個整合的新概念，是基於機器學習、大數據分析等技術的下一代SIEM架構。通過全方位的數據采集，關聯分析、威脅建模，SOAPA可以發現傳統安全方法難以發現的未知威脅。同時，盡可能減少誤報，做好響應處置工作，並輔助決策，實現安全事件的全流程閉環處理。其重點在於對現有安全體係和架構的補充，和防禦能力的增強。

“反惡意軟件沙箱”是蘭雲基於SOAPA架構的智能安全平台所包含8大能力的核心，覆蓋包括進程行為、用戶行為、內存行為等30餘個檢測指標。除了可對係統內核和網絡行為進行監測的係統級沙箱外，還包括可找出針對特定應用特定版本開發的惡意軟件的應用級沙箱。

附 關於C·S係列會議主題的選擇

安全牛推出的“網絡安全行業全景圖”(all.aqniu.com)目前共有17大安全分類，59個細分領域，包含200餘家安全企業和相關機構。全景圖的定位是各個細分安全領域中優秀廠商的推薦，而非“廠商黃頁或大全”。所以能夠列入全景圖某一細分領域的安全廠商，均在“產品國內市場的占比和銷售規模”或“產品技術特色”任一方麵據有明顯優勢。

之後，隨著各細分領域市場和技術調研陸續開展和相關報告的發布，安全牛也會繼續選擇行業關注的不同熱點作為C·S係列會議的主題，以報告內容為核心，線下活動為紐帶，為安全廠商、業界專家和甲方用戶搭建交流和分享的平台。

原文發布時間為：2017年11月9日

本文來自雲棲社區合作夥伴至頂網，了解相關信息可以關注至頂網。