近年來，網(wǎng)絡(luò)安全威脅持續(xù)升級，安全事件層出不窮。為應(yīng)對嚴(yán)峻的安全形勢，以威脅情報(bào)、態(tài)勢感知、大數(shù)據(jù)分析為代表的新一代的安全技術(shù)和防護(hù)策略取得了快速發(fā)展。企業(yè)意識到傳統(tǒng)的以防護(hù)為核心的策略已經(jīng)失效，傳統(tǒng)的安全運(yùn)營中心(SOC)需要演進(jìn)，以適應(yīng)這種變化。企業(yè)安全體系必須切換到以監(jiān)控和響應(yīng)為核心，通過持續(xù)監(jiān)測，及時響應(yīng)來減輕和限制攻擊造成的損失。這就要求新一代安全運(yùn)營中心(SOC)必須以數(shù)據(jù)和情報(bào)驅(qū)動，采用自適應(yīng)安全架構(gòu)來進(jìn)行環(huán)境和態(tài)勢感知，通過自動化或半自動化工具、流程和策略來對抗新一代威脅。

　　2017年11月2日，安全牛舉辦了第四屆專注安全解決方案分享的C·S大會——“新一代SOC和態(tài)勢感知解決方案大會”。會上，來自360企業(yè)安全、瀚思、安恒信息、深信服、新華三以及蘭云科技六家安全廠商的安全專家，介紹了他們對新一代SOC和態(tài)勢感知的理解以及能力建設(shè)思路。

　　態(tài)勢感知的前世、今生與未來

　　安恒信息資深解決方案架構(gòu)師李劍鋒表示，在全國網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)的爆發(fā)期，對“態(tài)勢感知”的認(rèn)知總會有類似“盲人摸象”的現(xiàn)象。這樣的建設(shè)并沒有達(dá)到國家和行業(yè)監(jiān)管部門的要求，結(jié)果就變成了只為上“態(tài)勢感知”而建態(tài)勢感知的做法，最后的結(jié)果是我們企業(yè)在網(wǎng)絡(luò)和信息安全的技術(shù)上、管理上和運(yùn)行上的各種隱患和漏洞都依然存在，且抓不住重點(diǎn)進(jìn)行建設(shè)。

　　安恒信息資深解決方案架構(gòu)師 李劍鋒

　　那么，究竟什么是態(tài)勢感知?態(tài)勢感知的“前世”是應(yīng)用于軍事領(lǐng)域，美軍在04年就指出“態(tài)勢感知是對現(xiàn)狀的知識和理解，可幫助友方、敵方的行動進(jìn)行及時、精確的評估，并服務(wù)于跟高層決策的制定”。今日，態(tài)勢感知已經(jīng)是網(wǎng)絡(luò)安全的基本和基礎(chǔ)性工作，是在實(shí)現(xiàn)安全態(tài)勢“理解”和“預(yù)測”之前的重要階段。對于多元、異構(gòu)的安全數(shù)據(jù)，如何從中采集出足夠且有效的安全要素，再通過關(guān)聯(lián)分析和數(shù)據(jù)挖掘，獲得當(dāng)前網(wǎng)絡(luò)局部或整體的安全態(tài)勢信息，并利用歷史數(shù)據(jù)和相關(guān)模型進(jìn)行態(tài)勢預(yù)測，是今日安全行業(yè)“態(tài)勢感知”所需具有的重要能力。

　　網(wǎng)絡(luò)技術(shù)應(yīng)用日新月異，所衍生出的安全威脅，也在不斷向技術(shù)手段更高級、獲取更高價值數(shù)據(jù)的方向演進(jìn)。大數(shù)據(jù)技術(shù)可以提供重要的安全分析能力，基于安恒在分析建模、異常行為關(guān)聯(lián)分析等方面的突出能力，幫助企業(yè)實(shí)現(xiàn)可檢測、可預(yù)警和可處置的態(tài)勢感知能力。

　　未來，安全態(tài)勢感知將定位在安全大數(shù)據(jù)中心，標(biāo)準(zhǔn)化和集中化的進(jìn)行數(shù)據(jù)采集與存儲，具備云平臺的安全防護(hù)和監(jiān)管能力，并聚焦更深度的態(tài)勢分析，以及網(wǎng)絡(luò)中全安全設(shè)備的通報(bào)和預(yù)警。

　　大數(shù)據(jù)安全支持的新一代SOC

　　瀚思產(chǎn)品副總裁 周奕

　　隨著企業(yè)網(wǎng)絡(luò)邊界的擴(kuò)大、各類安全威脅層出不窮，數(shù)據(jù)安全問題尤為突出，傳統(tǒng)的安全防護(hù)已不能有效解決企業(yè)的安全問題。

　　瀚思產(chǎn)品副總裁周奕認(rèn)為，邊界、單點(diǎn)防御已近乎失效的今天，下一代安全運(yùn)營中心(SOC)的建設(shè)已成為大部分企業(yè)安全能力建設(shè)的重心。這包括安全預(yù)防、持續(xù)監(jiān)測、快速響應(yīng)、溯源取證和風(fēng)險(xiǎn)預(yù)警這五方面能力。

　　瀚思作為國內(nèi)知名的大數(shù)據(jù)安全廠商，擁有22項(xiàng)核心安全專利。從下面這張產(chǎn)品體系圖中不難看出，基于機(jī)器學(xué)習(xí)和人工智能這一核心能力的大數(shù)據(jù)平臺，以及平臺之上對于安全和威脅的理解所積累的專家規(guī)則，是瀚思的核心競爭力。

　　通過對企業(yè)內(nèi)/外部數(shù)據(jù)的采集和分析，針對外部攻擊、內(nèi)部威脅和業(yè)務(wù)欺詐，實(shí)現(xiàn)主動、智能的防御，是瀚思認(rèn)為新一代SOC的最終目標(biāo)。

　　NGSOC和態(tài)勢感知構(gòu)建的新一代安全運(yùn)營體系

　　360企業(yè)安全集團(tuán)副總裁 韓永剛

　　數(shù)字化轉(zhuǎn)型這一大背景下，IT基礎(chǔ)設(shè)施正在發(fā)生變化，安全運(yùn)營思路甚至是安全體系，也應(yīng)重新構(gòu)建。360企業(yè)安全集團(tuán)副總裁韓永剛指出，被動的圍墻式的防護(hù)思路已經(jīng)無法應(yīng)對復(fù)雜的高級威脅，企業(yè)安全防御的重點(diǎn)，應(yīng)從過去的被動的圍墻式，過渡到主動、動態(tài)對抗的檢測和響應(yīng)上。企業(yè)應(yīng)利用大數(shù)據(jù)、威脅情報(bào)、行為分析等技術(shù)，幫助組織對來自內(nèi)/外部的安全威脅進(jìn)行研判和溯源。

　　“數(shù)據(jù)驅(qū)動安全”一直是360網(wǎng)絡(luò)安全的核心技術(shù)思想。背后，威脅情報(bào)和態(tài)勢感知能力，以及協(xié)同防御體系的構(gòu)建，是重要的能力支撐。

　　360認(rèn)為，新一代SOC核心能力點(diǎn)在于對威脅的持續(xù)監(jiān)測，包括分析、響應(yīng)、對安全態(tài)勢的評估，以及協(xié)同和預(yù)防。概括來講，就是“技術(shù)”、“流程策略”和“人”。所需的核心技術(shù)點(diǎn)包括：威脅情報(bào)的充分應(yīng)用、深度網(wǎng)絡(luò)流量分析、終端檢測與響應(yīng)、用戶實(shí)體和行為分析、追蹤與調(diào)查、可視化交互分析、事件響應(yīng)、自動化協(xié)同。

　　在安全運(yùn)營中，對“人”要特別關(guān)注。沒有技術(shù)手段保障的運(yùn)營機(jī)制，和沒有人員參與運(yùn)營的技術(shù)機(jī)制，都會失效。“數(shù)據(jù)驅(qū)動、產(chǎn)品協(xié)同”的技術(shù)機(jī)制，和“以人為核心”的運(yùn)營機(jī)制，應(yīng)達(dá)到協(xié)同。同時，在安全人才培養(yǎng)方面，企業(yè)要在兼顧培養(yǎng)成本的前提下，考慮企業(yè)安全能力所處不同階段，對安全人才能力的不同需求，進(jìn)行針對性培養(yǎng)。

　　新形勢下的安全感知方案和最佳實(shí)踐

　　深信服安全感知產(chǎn)品總監(jiān) 王金紅

　　深信服認(rèn)為，碎片化的安全體系現(xiàn)狀和攻防的不對等，是目前傳統(tǒng)防御體系存在的兩個主要問題

　　因此，企業(yè)對能夠使全網(wǎng)安全狀態(tài)可視、并及時進(jìn)行預(yù)警和響應(yīng)的安全平臺的需求，是非常迫切的。這個安全平臺需要具備以下四點(diǎn)能力：

　　·對必要且有效數(shù)據(jù)的主動提取;

　　·能夠不依賴規(guī)則檢測低概率安全威脅;

　　·基于業(yè)務(wù)的安全可視;

　　·多設(shè)備的協(xié)同聯(lián)動響應(yīng)。

　　特別在協(xié)同響應(yīng)方面，深信服采用三級響應(yīng)機(jī)制，包括通過下一代防火墻平臺的網(wǎng)絡(luò)側(cè)的自動阻斷，上網(wǎng)行為管理對用戶/員工的提醒和在終端的掃描/查殺工具，以及幫助進(jìn)行威脅分析和應(yīng)急響應(yīng)的專家服務(wù)。

　　總的來說，企業(yè)需要對自身IT資產(chǎn)和業(yè)務(wù)邏輯進(jìn)行梳理，利用威脅情報(bào)進(jìn)行實(shí)現(xiàn)威脅檢測，并參考對攻擊行為的分析，來評估用戶網(wǎng)絡(luò)的安全態(tài)勢。

　　態(tài)勢感知在高校的落地實(shí)踐

　　新華三集團(tuán)安全產(chǎn)品線高級產(chǎn)品經(jīng)理 田浩博

　　安全威脅多樣、影響范圍廣、邊界防護(hù)困難已經(jīng)成為安全威脅的新常態(tài)。特別在教育行業(yè)，普遍存在安全技術(shù)和管理體系缺乏，運(yùn)維機(jī)制脆弱等問題。目前，高校安全治理的主要任務(wù)，在于封堵安全漏洞、治理網(wǎng)站亂象、規(guī)范安全管理、和補(bǔ)齊等保短板。為此態(tài)勢感知平臺要能夠?qū)崿F(xiàn)風(fēng)險(xiǎn)和資產(chǎn)的可見、可知，和安全問題的快速處置。

　　基于在高校的落地實(shí)踐，新華三認(rèn)為態(tài)勢感知平臺的核心能力，應(yīng)包括：基于安全大腦(由機(jī)器學(xué)習(xí)和專家系統(tǒng)構(gòu)建)的威脅智能分析、“云-網(wǎng)-端”架構(gòu)的協(xié)同響應(yīng)、風(fēng)險(xiǎn)態(tài)勢的主動多多維預(yù)測、以及業(yè)務(wù)風(fēng)險(xiǎn)等多維度的安全可視化呈現(xiàn)。對應(yīng)的技術(shù)點(diǎn)，包括能夠?qū)Υ蠓秶鷺颖緮?shù)據(jù)進(jìn)行分析和趨勢預(yù)判的核心安全大腦，基于漏洞、URL、病毒、IP/Web等安全特征庫在網(wǎng)絡(luò)邊界的深度報(bào)文檢測、用戶行文分析與審計(jì)、網(wǎng)絡(luò)流量異常檢測，和對內(nèi)網(wǎng)主句、服務(wù)器和數(shù)據(jù)庫的主動式漏掃。

　　要實(shí)現(xiàn)這些，也就意味著平臺要具備完整的數(shù)據(jù)采集能力，智能的威脅分析能力，和強(qiáng)大的聯(lián)動響應(yīng)能力。

　　入侵事件的高效發(fā)現(xiàn)、分析與取證(基于SOAPA架構(gòu)的智能安全平臺)

　　蘭云科技解決方案總監(jiān) 李傳恩

　　足以湮沒真正有價值威脅警報(bào)的告警海洋、傳統(tǒng)特征檢測面對未知威脅的失效、因?yàn)槿髁繑?shù)據(jù)存儲能力不足所導(dǎo)致的事后取證困難，是目前安全工作人員所面臨的三個最主要“困境”。而“脫困之道”，蘭云科技認(rèn)為，就在于可以看做是下一代SOC的SOAPA(安全運(yùn)作和分析平臺)架構(gòu)。

　　SOAPA是一個整合的新概念，是基于機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析等技術(shù)的下一代SIEM架構(gòu)。通過全方位的數(shù)據(jù)采集，關(guān)聯(lián)分析、威脅建模，SOAPA可以發(fā)現(xiàn)傳統(tǒng)安全方法難以發(fā)現(xiàn)的未知威脅。同時，盡可能減少誤報(bào)，做好響應(yīng)處置工作，并輔助決策，實(shí)現(xiàn)安全事件的全流程閉環(huán)處理。其重點(diǎn)在于對現(xiàn)有安全體系和架構(gòu)的補(bǔ)充，和防御能力的增強(qiáng)。

　　“反惡意軟件沙箱”是蘭云基于SOAPA架構(gòu)的智能安全平臺所包含8大能力的核心，覆蓋包括進(jìn)程行為、用戶行為、內(nèi)存行為等30余個檢測指標(biāo)。除了可對系統(tǒng)內(nèi)核和網(wǎng)絡(luò)行為進(jìn)行監(jiān)測的系統(tǒng)級沙箱外，還包括可找出針對特定應(yīng)用特定版本開發(fā)的惡意軟件的應(yīng)用級沙箱。