透過水晶球一瞥下一代SOC

今天，51CTO發表一篇譯文《SOC 2.0：下一代安全運營中心先睹爲快》，英文原文出自DarkReading，題爲：SOC 2.0: A Crystal-Ball Glimpse Of The Next-Generation Security Operations Center。該文綜合了多個業界廠商、服務商和第三方諮詢公司的訪談，其主旨是提出了對於將來SOC技術發展方向的四點見解：
1）將來的SOC會花更多的時間用於安全分析，花更少的時間用於邊界防護；
2）將來的SOC會花更多的時間用於確認新的未知威脅，花更少的時間用於將已知威脅列入黑名單；
3）將來的SOC會花更少的時間用於聚合事件，花更多的時間用於進行主動監控和智能化關聯安全數據；
4）將來的SOC會花更多的時間用於跟安全服務提供商合做，花更少的時間用於本身單幹。

附：51CTO譯文全文

儘管大企業耗巨資用在技術上、花大量時間用在安全防護上，仍是繼續受到***的***和惡意軟件的感染，狀況之嚴重史無前例。很顯然，傳統的安全方法解決不了問題。考慮到這個嚴峻的現實，許多安全專業人員及爲他們服務的廠商已開始在看待解決IT安全問題的方法方面進行一些緩慢而根本性的變化。專家們表示，而因爲這些變化，未來大企業的安所有門、特別是安全運營中心（SOC）的工做方式可能與今天全然不一樣。
安全諮詢公司Securosis的創始人Rich Mogull說：\"SOC中的人員須要設法做出更快速、更合理的反應--他們須要設法提升工做效率，須要設法縮短開始遭到***與阻止或消除***之間的時間。\"
爲了得到這樣的效率，企業可能須要在考慮安全的角度和花費時間的方式上做一些根本性轉變。咱們不妨看一看安全理念的一些變化，以及這些變化會給明天的SOC在未來的活動帶來怎樣的影響。
明天的SOC會花更多的時間用於安全分析，花更少的時間用於邊界防護。
專家們表示，\"防護企業邊界\"的傳統理念漸漸過期了。因爲用戶變得移動性更強，而企業變得更相互依賴，某一家企業的\"安全邊界\"正變得愈來愈難定義，想作到防護幾乎是不可能的。
思科系統公司主席辦公室高級副總裁兼首席執行官Don Proctor說：\"2007年，估計全球有大約5億個與網絡鏈接的設備。到2010年，這個數字將猛增到350億個--至關於地球上每一個人有5個設備。咱們沒法經過所有在端點處給它們打補丁的辦法來確保安全。咱們不得不向邊界作別。\"
實際上，一些安全專業人員、甚至一些廠商在擯棄這個基本理念：邊界是徹底能夠防護的。新的理念是：企業會受到危及，極可能已經受到了危及。
安全廠商NetWitness的首席執行官兼白宮前網絡安全顧問Amit Yoran說：\"目前，安全團隊沒法確信某個主機沒有遭到危及--壞人已經潛入到你的環境裏面。全部真正嚴重的威脅已經潛入在網絡裏面。\"
儘管不是全部的安全專家都認同這種理念，但大多數一致認爲，明天的安全團隊用於分析日誌和事件的時間確定至少與目前用於創建邊界防護機制的時間同樣多。這意味着會更多地關注安全分析、調查取證和事件響應。
安全信息和事件管理（SIEM）工具開發商SenSage的首席執行官Joe Gottlieb說：\"未來，SOC中的人會發現，他們會把更多的時間用於分析數據，而不是用於分析安全。他們會加大數據挖掘方面的工做量，以查明問題根源。他們會更加關注'你遭到了******。如今怎麼辦？'\"
明天的SOC會花更多的時間用於確認新的未知威脅，花更少的時間用於將已知威脅列入黑名單。
連反病毒廠商如今都認同這個觀點：圍繞已知***的\"特徵\"（signatures）構建安全防護機制的理念並非什麼有效的長久之計，而率先提出這個理念的正是反病毒廠商。
賽門鐵克技術和響應部門的主管Gerry Egan最近發佈該公司新的基於聲譽的安全工具Ubiquity時說：\"十年前，咱們每週能夠識別出須要列入黑名單的5到10個新病毒。而如今，咱們天天識別出的新特徵多達1萬到5萬個。原來基於特徵的模式變得有點過期了。\"
專家們表示，雖然基於特徵的技術會繼續是企業安全戰略的一個部分，但明天的SOC的分析人員會將更多時間用於找出網絡和系統行爲方面可能代表有新***的變化。新興技術有望改進檢測零日威脅的能力，好比賽門鐵克的Ubiquity、Dasient的Web Anti-Malware和FireEye的惡意軟件防禦系統，那是由於它們會竭力識別出行爲和聲譽方面的變化，而不是關注已知威脅。
Dasient公司的聯合創始人兼首席技術官Neil Daswani說：\"因爲現在的惡意軟件與日俱增、不斷變化，若是你仍是試圖徹底經過***的特徵來加以防範，那麼註定會失敗。咱們的觀念必須由關注代碼是什麼樣轉變成代碼幹什麼事。\"
專家們表示，這意味着，下一代SOC的工做人員極可能會把比以往更多的時間用於分析惡意軟件，甚至用於研究惡意軟件。Mogull認爲，明天的SOC須要根據惡意軟件的特徵，肯定一系列獨特的關聯活動，從而實際上創建了專門針對特定威脅、風險和業務敏感性的一種威脅分析環境。
Mogull表示，下一代SOC還須要一種更合理的方法，以便迅速分析可能代表有新威脅的行爲數據，並將其上報、列到安全團隊的優先事項列表的首位。他表示，許多SOC會編寫定製的腳本和用戶接口，以便有助於使上報過程實現自動化，並加快分析和解決潛在安全問題的過程。
明天的SOC會花更少的時間用於聚合事件，花更多的時間用於進行主動監控和智能化關聯安全數據。
多年來，SOC一直以安全信息和事件管理（SIEM）工具爲主；這種工具能夠收集網絡上與安全有關的\"事件\"方面的信息，並將這些信息彙總到一個監控屏幕上。專家們表示，這種工具不會消失，但大多數專家、連SIEM系統廠商本身也都一致認爲，下一代SOC中的安全監控必須變得比如今更智能化。
SIEM廠商SenSage的Gottlieb說：\"目前的安全監控環境只能讓你大體瞭解發生的狀況。大多數監控技術不能接受來自任何數據源的數據。即使如此，日誌和SIEM系統中仍有大量數據須要檢查，所以很難把有用數據與干擾數據隔離開來。\"
Mogull說，數據分析問題沒有變得更容易處理。他說：\"SIEM中有大量數據，但到頭來它是日誌層數據。未來須要可以進行網絡層分析，甚至是數據包層分析，而單單一個系統不可能完成全部這些分析。\"
下一代SOC會須要這種新技術：能未來自衆多安全系統的數據關聯起來，並且有助於一目瞭然地提供數據，讓分析人員可以更迅速地尋遍大量安全信息，從中找出可能代表有威脅的那部分數據。實際上，SOC未來變得更明智的祕訣不是整合幾個安全系統和應用軟件，而是加強分析人員從許多不一樣的系統聚集相關數據，並關聯起來查出威脅根源的能力。
思科的Proctor說：\"真正須要的是讓你能夠了解網絡活動和性能的事件關聯功能，那樣就能知道什麼是'正常'的。若是某檯筆記本電腦之前歷來不與外界聯繫，如今忽然開始將數據發送到巴西，就須要可以明白它什麼時候開始發送數據、發送了什麼數據。\"他表示，最終，這種關聯功能甚至能夠擴展到物理系統，那樣SOC還能識別安全門和監視攝像頭的使用模式。
據一些專家聲稱，另外，未來下一代SOC的工做人員會增強主動監控，減弱被動監控。專家們強調，雖然SIEM和事件關聯工具備助於更迅速地查明威脅的根源，但它們仍是沒法阻止***的發生。
\"我認爲，實行被動監控、說咱們已經遭到***的腔調是一種輕易認輸的表現，並且有點奇怪，\"RedSeal Systems公司的營銷副總裁Steve Dauber說，這家公司生產的工具用來測試安全策略的漏洞，並衡量企業的安全情況。\"若是你看一下來自Verizon公司最近的威脅調查報告的數據，會發現大多數威脅之因此會發生，是由於許多公司沒有采起一些很簡單的措施來確保系統安全。他們須要有更多的方法在威脅發生以前主動查明那些問題，而不是遭到***後再分析。\"
安全配置管理工具廠商AlgoSec的聯合創始人兼首席技術官Avishai Wool認同這番觀點。他說：\"我並不認同邊界已死的說法。有許多方法能夠更有效地預防***，但咱們須要大大提升自動化程度，而且大大改進工具。人們沒法配置虛擬專用網（×××），如今有許多企業試圖配置×××。\"
RedSeal公司和AlgoSec公司提供的工具都讓企業可以更有效地評估防火牆及其餘安全系統的配置，從而有助於查找安全漏洞，並根據企業安全策略來測試漏洞。這種主動分析和測試，加上傳統的漏洞掃描，目的在於幫助公司在壞人鑽漏洞空子以前，找出安全系統存在的漏洞。
Mogull認爲，數據泄漏預防（DLP）等一些現有的工具也有助於找出可能泄漏的地方，預防敏感數據離開企業環境。他說：\"DLP有時遭到安全人員的批評，緣由是一些方法能夠繞過它。但事實上，DLP對於過濾出站數據和識別複雜的頑固威脅大有幫助。許多壞人蔘與了威脅事件，但不是全部人都很狡猾。\"
明天的SOC會花更多的時間用於跟安全服務提供商合做，花更少的時間用於本身單幹。
幾乎從各個方面來看，安全威脅的數量和複雜性都在迅猛增加。Dasient公司近日發佈的數字顯示，互聯網上遭到惡意軟件感染的網站超過120萬個，比一年前多了兩倍多。美國計算機行業協會（CompTIA）上週發佈的統計數據代表，在過去的一年裏，近三分之二的企業至少遭到過一次威脅。
不過，專門用於IT安全的人力和預算資源幾乎根本未見增加。Gartner公司在今年6月發佈的一項調查中聲稱，安全開支佔IT總預算的比例從2009年的6%減小到了今年的5%。顯然，明天的SOC別期望單單經過增添內部人員和技術，就可以應對威脅愈來愈多的環境。
專家們表示，因爲這個緣由，許多企業期望依靠安全服務，幫助本身處理一部分防護工做。RSA、思科和賽門鐵克等主要安全廠商提供的軟件即服務（SaaS）解決方案愈來愈受歡迎，而Immunet、FireEye和Invincea等規模較小的新興公司則在圍繞服務、而不是圍繞軟件來發展業務。
另外一家服務提供商Dasient的Daswani說：\"如今許多公司明白，部署客戶端技術、不斷打補丁的辦法並不是老是管用。我確信，全部合適的端點安全工具甚至到如今尚未出如今市面上。咱們發現，從服務器端關注這些問題確實至關有效。\"
IDC公司的研究代表，全球安全服務市場將從去年的323億美圓，增長到2010年的441億美圓。專家們表示，雖然使用其中許多服務的將是中小型企業，但大企業中的SOC也會考慮利用安全廠商收集而來的惡意軟件及其餘威脅方面的數據。
但專家們表示，這並不意味着SOC工做人員的專長會變得不大重要。實際上大多數專家一致認爲，下一代的安全分析人員必定要比過去更精明--不但要了解當前的威脅，還要了解這些威脅可能會給特定的企業環境帶來什麼影響。
SenSage公司的Gottlieb開玩笑說：\"業界但願給SOC配備廉價勞動力的想法落空了。安全工做不會變得更簡單。未來的安全人員不但須要目前在防護的領域方面的專長，還要有聯繫上下文的專長，以便肯定哪些組合的事件可能會帶來威脅。除此以外，他們還須要有分析專長，以便可以查明威脅的根源以及如何阻止威脅。\"