安全管理平臺(SOC平臺)的發展趨勢分析
1 SOC一詞的起源
SOC(Security Operations Center)是一個外來詞。而在國外,SOC這個詞則來自于NOC(Network Operation Center,即網絡運行中心)。NOC強調對客戶網絡進行集中化、全方位的監控、分析與響應,實現體系化的網絡運行維護。
隨著信息安全問題的日益突出,安全管理理論與技術的不斷發展,需要從安全的角度去管理整個網絡和系統,而傳統的NOC在這方面缺少技術支撐,于是,出現了SOC的概念。不過,至今國外都沒有形成統一的SOC的定義。維基百科也只有基本的介紹:SOC(Security OperationsCenter)是組織中的一個集中單元,在整個組織和技術的高度處理各類安全問題。SOC具有一個集中化的辦公地點,有固定的運維管理人員。國外各個安全廠商和服務提供商對SOC的理解也差異明顯。
2 SOC產生的動因
為了不斷應對新的安全挑戰,企業和組織先后部署了防火墻、UTM、入侵檢測和防護系統、漏洞掃描系統、防病毒系統、終端管理系統,等等,構建起了一道道安全防線。然而,這些安全防線都僅僅抵御來自某個方面的安全威脅,形成了一個個“安全防御孤島”,無法產生協同效應。更為嚴重地,這些復雜的IT資源及其安全防御設施在運行過程中不斷產生大量的安全日志和事件,形成了大量“信息孤島”,有限的安全管理人員面對這些數量巨大、彼此割裂的安全信息,操作著各種產品自身的控制臺界面和告警窗口,顯得束手無策,工作效率極低,難以發現真正的安全隱患。另一方面,企業和組織日益迫切的信息系統審計和內控要求、等級保護要求,以及不斷增強的業務持續性需求,也對客戶提出了嚴峻的挑戰。
針對上述不斷突出的客戶需求,從2000年開始,國內外陸續推出了SOC(Security Operations Center)服務和產品。目前國內的SOC產品也稱為安全管理平臺,由于受到國內安全需求的影響,具有很強的中國特色。
3 SOC的定義
一般地,傳統SOC產品被定義為:以資產為核心,以安全事件管理為關鍵流程,采用安全域劃分的思想,建立一套實時的資產風險模型,協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。
本質上,SOC不是一款單純的產品,而是一個復雜的系統,他既有產品,又有服務,還有運維(運營),SOC(或者說SOC系統)是技術、流程和人的有機結合。SOC產品是SOC系統的技術支撐平臺,這是SOC產品的價值所在,我們既不能夸大SOC產品的作用,也不能低估他的意義。這就好比一把好的掃帚并不意味著你就天然擁有干凈的屋子,還需要有人用它去打掃房間。
4 SOC在信息安全產業的地位
如果我們把信息安全產業分為產品和服務兩個部分,那么SOC產品位于信息安全產品市場金字塔的頂端。
SOC產品是所有安全產品的集大成者。SOC產品不是取代原有的安全產品,而是在這些安全產品之上,面向客戶,從業務的角度構建了一個一體化的安全管理運行的技術集成平臺。
信息安全產業是一個極速發展變化的產業,SOC的內涵和外延也會不斷的更新,但是SOC產品在整個信息安全產品結構中的頂層地位始終不會改變。
5 國外SOC的發展現狀
如前所述,國外的SOC并沒有明確的定義,其發展軌跡可以從產品和服務兩個維度來看。
SOC產品
國外鮮見以SOC命名的產品, SOC更多地是與服務掛鉤的。國外產品廠商使用了SIEM(Security Information and Event Management,安全信息與事件管理)這個詞來代表SOC產品,以示產品與服務的區隔。
必須指出的是,SIEM產品與我們理解的SOC 產品是有區別的,SIEM產品是SOC的核心產品,但不是全部。
根據Gartner2008年關于信息安全的Hype Cycle曲線分析顯示,全球安全管理平臺市場趨于成熟,還有不到兩年就將成為業界主流產品,如下圖所示:
圖:Gartner信息安全Hyper Cycle#p#
Gartner公司2009年安全信息和事件管理 (SIEM)幻方圖顯示,全球SIEM市場在2008年增長了30%,整體收入達到了約10億美元。主要的SIEM廠家如下圖所示:
圖:Gartner SIEM 2009年幻方圖
SOC服務
SOC服務是指 MSSP(Managed Security Service Provider,可管理安全服務提供商)以SOC為技術支撐為客戶提供安全服務。這里,客戶感受到的只是安全服務,而非SOC本身。
從 SOC發展至今,國外更多地將SOC與服務聯系在了一起,這與國外(主要是歐美)信息安全發展的水平和客戶對安全的認知水平有密切關系。
根據 Gartner公司《2008年下半年北美MSSP幻方圖》顯示, 北美市場2007年的營收大約是5.7億美元,預計在2008年全年會有15%的增長。北美的主要廠家包括:
圖:Gartner北美MSSP 2008年下半年幻方圖
6 中國的SOC發展現狀
SOC這個概念,自傳入中國起,就深深的烙下了中國特色。由于信息安全產業和需求的特殊性使然,由于中國網絡與安全管理理念、制度、體系、機制的落后使然。
中國SOC的引入和發展與國外的情況有一個很大的不同,就是國內在提出SOC的時候,除了電信、移動、民航、金融等高度信息化的單位,大部分企業和組織連NOC都沒有建立起來。于是,國內SOC的發展依據行業的不同出現了截然不同的發展軌跡。電信、移動、民航、金融等單位較早的建立了NOC,對SOC的認識過程與國外基本保持一致。其他企業和組織則對SOC認識模糊,從而更加講求實效。這兩類客戶對于SOC的需求和期望是截然不同的,后者在需求的廣度上超過了前者,因而用電信、移動、金融領域的SOC反而難以滿足政府等企事業單位客戶的需求。
SOC在國內也有兩個發展維度,產品和服務。
SOC產品
在國內,一般把SOC產品稱為安全管理平臺,但是,公安部的《安全管理平臺產品檢測規范》并沒有真正涵蓋現在SOC的全部內容。國內的安全管理平臺具有狹義和廣義兩個定義。
狹義上,安全管理平臺重點是指對安全設備的集中管理,包括集中的運行狀態監控、事件采集分析、安全策略下發。
而廣義的安全管理平臺則不僅針對安全設備進行管理,還要針對所有IT 資源,甚至是業務系統進行集中的安全管理,包括對IT資源的運行監控、事件采集分析,還包括風險管理與運維等內容。這也是SOC的一般定義。
賽迪顧問(CCID Consulting)于2007年開始首次在其信息安全產品市場分析報告中對SOC產品進行分析,目前已經連續兩年進行了相關研究。#p#
SOC 服務
在國內,SOC服務始終處于萌芽狀態,與國外的如火如荼形成了鮮明的對比。這是國內信息安全產業發展整體所處的階段所致。
最后,無論SOC如何在國內發展,這個概念已經漸漸為業界所認同,也得到了客戶的認可。隨著國內信息安全水平的提升,信息安全產、學、研都紛紛加大了對它的關注度。
7 SOC2.0:安全管理平臺發展的新階段
隨著客戶業務的深化和行業需求的清晰,傳統SOC理念和技術的局限性逐漸凸現出來,主要體現在三個方面:首先,在體系設計方面,傳統SOC圍繞資產進行功能設計,缺乏對業務的分析。其次,在技術支持方面,傳統SOC缺少全面的業務安全信息收集。最后,在實施過程方面,傳統SOC實施只考慮安全本身,沒有關注客戶業務。以資產為核心、缺乏業務視角的軟肋使得傳統SOC不能真正滿足客戶更深層次的需求。
對于用戶而言,真正的安全不是簡單的設備安全,而是指業務系統安全。IT資源本身的安全管理不是目標,核心需求是要保障IT資源所承載的業務的可用性、連續性、以及安全性,因為業務才是企業和組織的生命線。要保障業務安全,就要求為用戶建立一套以業務為核心的管理體系,從業務的角度去看待IT資源的運行和安全。如果把傳統的 SOC稱為SOC1.0,那么面向業務的SOC就可以稱作SOC2.0。
SOC2.0的定義:SOC2.0是一個以業務為核心的、一體化的安全管理系統。SOC2.0從業務出發,通過業務需求分析、業務建模、面向業務的安全域和資產管理、業務連續性監控、業務價值分析、業務風險和影響性分析、業務可視化等各個環節,采用主動、被動相結合的方法采集來自企業和組織中構成業務系統的各種IT資源的安全信息,從業務的角度進行歸一化、監控、分析、審計、報警、響應、存儲和報告。SOC2.0以業務為核心,貫穿了信息安全管理系統建設生命周期從調研、部署、實施到運維的各個階段。
SOC2.0的價值就在于確保IT可靠、安全地與客戶業務戰略一致,促使客戶有效地利用信息資源,降低運營風險。
8 SOC的發展路線
如下圖所示,展示了 SOC技術、產品和市場的發展路線路。
圖:SOC發展階段
整體看來,SOC經歷了一個從分散到集中,從以資產為核心到以業務核心的發展軌跡。隨著中國安全建設水平的不斷提升,安全管理的業務導向程度會越來越明顯。
在信息安全建設的早期,更多地是部署各類安全設備和系統,逐漸形成了“安全防御孤島”,導致了安全管理的成本急劇上升,而安全保障效率迅速下降。為此,出現了最早的安全管理系統,主要是實現對網絡中分散的防火墻/VPN等設備的集中監控與策略下發,構建一個較為完整的邊界安全統一防護體系。
隨著對信息安全認識的不斷深入,安全管理體系化思想逐漸成熟,出現了以信息系統資產為核心的全面安全監控、分析、響應系統——SOC1.0。SOC1.0以資產為主線,實現了較為全面的事件管理與處理流程,以及風險管理與運維流程。
SOC1.0的出現,提升了用戶信息安全管理的水平,從而也對信息安全管理有了更高的期望,要求從客戶業務的角度來進行安全管理的呼聲日益增長,于是出現了面向業務的 SOC2.0。SOC2.0繼承和發展的傳統SOC1.0的集中管理思想,將安全與業務融合,真正從客戶業務價值的角度去進行一體化安全體系的建設。
9 SOC的未來發展趨勢
展望未來,SOC的發展始終會沿著兩個路徑前進:產品和服務。
從產品的角度來看,從SOC1.0到SOC2.0,實現了業務與安全的融合,符合整個 IT管理需求、技術的發展大勢。下一步,將會不斷涌現面向業務的SOC2.0產品。隨著客戶需求的日益突出、業務系統的日益復雜,越來越多的企業和組織會部署SOC系統。
從服務的角度看,SOC將成為MSSP(可管理安全服務提供商)的服務支撐平臺,成為SaaS(軟件即服務,安全即服務)的技術支撐平臺,成為云計算、云安全的安全管理后臺。所有用戶體驗到的安全服務都會由SOC來進行總體支撐。
一方面,SOC產品的業務理念和思路會滲透到SOC服務之中;另一方面,SOC服務水平與客戶認知的提升也會促進SOC產品的發展與成熟。
【編輯推薦】
