安全運營服務(wù)介紹

需要安全運營中心(SOC)的公司企業(yè)未必負(fù)擔(dān)得起相應(yīng)的設(shè)備和人員開支。很多提供商都推出了安全運營中心即服務(wù)(SOCaaS)業(yè)務(wù)，該怎么衡量和選擇呢？

采用SOCaaS的目標(biāo)是要擁有能夠警示數(shù)據(jù)泄露或其他安全事件的設(shè)備，讓你不用構(gòu)建自己的SOC，也不用雇傭技術(shù)人才來運營防護(hù)性安全設(shè)備。理想狀況下，供應(yīng)商應(yīng)該能夠及時 (及時程度與其服務(wù)水平協(xié)議有關(guān)) 發(fā)現(xiàn)事件，并做出必要的修正以緩解威脅。

安全運營服務(wù)——安全運營給安全企業(yè)帶來新的生機(jī)

安全運營對網(wǎng)絡(luò)安全企業(yè)來說，意義更是非同尋常。這兩年，許多安全廠商像啟明星辰、奇安信、綠盟等紛紛組建安全運營中心，把它作為業(yè)務(wù)突破的新抓手，有的甚至把它列為戰(zhàn)略級核心業(yè)務(wù)。這與很多國際廠商在全球范圍投入安全運營中心業(yè)務(wù)，有著異曲同工的關(guān)聯(lián)。

鄭建華院士近期在一次會議上提出，要解決行業(yè)防護(hù)工作分割的狀況，有必要建立國家安全隊伍或企業(yè)，用以代管行業(yè)的安全需求。有國外國際研究報告認(rèn)為，安全運營的主要載體，威脅監(jiān)測與主動響應(yīng)服務(wù)將會成為中國具有吸引力的安全服務(wù)。Gartner預(yù)測，到2019年安全外包服務(wù)開銷會大幅增長。技術(shù)和資源的缺乏，加之威脅復(fù)雜度的增加與IT安全人才的短缺，將促使企業(yè)用戶尋找由安全提供商、電信運營商或其他供應(yīng)商外部托管的自動化安全服務(wù)。尤其是在中端市場，對中小企業(yè)而言更是如此。IDC的預(yù)測則顯示，隨著托管安全服務(wù)繼續(xù)朝著托管檢測和響應(yīng)的方向發(fā)展，市場范圍將繼續(xù)擴(kuò)大。到2024年，70％的托管安全服務(wù)客戶將采用威脅生命周期服務(wù)，與2019年的20%相比明顯增加。國內(nèi)一些安全企業(yè)的看法是，安全運營在安全市場空間占比未來會接近一半，預(yù)計可達(dá)上千億元規(guī)模。

安全運營服務(wù)都包含哪些內(nèi)容呢？

以多安全運營中心聯(lián)動協(xié)調(diào)的方式，實現(xiàn)準(zhǔn)確快速的網(wǎng)絡(luò)安全事件響應(yīng)處置，提升網(wǎng)絡(luò)安全治理能力

傳統(tǒng)網(wǎng)絡(luò)安全治理僅根據(jù)企業(yè)或組織內(nèi)部的安全運營資源進(jìn)行開展網(wǎng)絡(luò)安全治理，缺乏多中心聯(lián)動機(jī)制，無法對復(fù)雜多變的網(wǎng)絡(luò)安全攻擊行為進(jìn)行快速響應(yīng)和處置，因此需要通過多安全運營中心聯(lián)動處置機(jī)制，借助外部團(tuán)隊的技術(shù)力量和經(jīng)驗，快速響應(yīng)及處置網(wǎng)絡(luò)安全風(fēng)險。

安全運營服務(wù)系統(tǒng)的組成

蜜罐系統(tǒng)

誘捕惡意攻擊行為，可先發(fā)制人，也可虛晃一招，擾亂攻擊者視線，拖延攻擊者攻擊時間甚至可獲取攻擊者攻擊手段，從而保護(hù)真實網(wǎng)絡(luò)。

全流量取證系統(tǒng)

基于網(wǎng)絡(luò)流量數(shù)據(jù)的存儲和檢索，提供相關(guān)網(wǎng)絡(luò)安全事件的事后審計能力，能完整真實的還原網(wǎng)絡(luò)安全事件的原始場景，滿足合規(guī)性和網(wǎng)絡(luò)安全事件分析的需求。

威脅分析系統(tǒng)

憑借自身的檢測優(yōu)勢，利用支持雙向匹配的特征檢測、支持多分析場景的流檢測和基于沙箱檢測技術(shù)的文件檢測，除發(fā)現(xiàn)一般攻擊以外，利用威脅分析能力，結(jié)合ATT&CK模型、威脅情報、資產(chǎn)管理等能力，還能夠針對有效分析場景和APT攻擊進(jìn)行進(jìn)一步分析與研判。

EDR終端檢測響應(yīng)系統(tǒng)

通過算法來分析系統(tǒng)上單個用戶終端的行為，允許它記住和連接他們的活動。數(shù)據(jù)會立即被過濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。

安全運營指揮平臺

配備運營中心分析人員，進(jìn)行多方位統(tǒng)籌工作。聯(lián)動以上各個設(shè)備數(shù)據(jù)，進(jìn)行下一步應(yīng)急響應(yīng)處置工作，實現(xiàn)威脅早發(fā)現(xiàn)、快阻斷、回溯全等功能。在特殊時期，通過數(shù)據(jù)可視化，可以直觀查看威脅情況，便于值守人員操作。