摘要：众所周知，安全运营中心(SOC)在中国的落地一直不算成功。仅靠日志分析、终端安全等工具的堆砌，缺乏足够的知识和人才来运营，难以与IT、业务和监管等部门进行有机的联动，这些问题都使得许多国内的自建SOC几乎等同于SIEM，而远没有达到成熟安全运营中心应具有的能力。

　　SOC，即安全运营中心，从名称来看：

　　S->Security(安全)，即SOC处理的事件或流程应该是与企业网络安全相关的;

　　O->Operations(运营)，代表着一种动态的动作，包括但不限于实时的检测和响应;

　　C->Center(中心)，体系化的建设，多领域安全产品和服务“叠加”而成的综合防线。

　　众所周知，安全运营中心(SOC)在中国的落地一直不算成功。仅靠日志分析、终端安全等工具的堆砌，缺乏足够的知识和人才来运营，难以与IT、业务和监管等部门进行有机的联动，这些问题都使得许多国内的自建SOC几乎等同于SIEM，而远没有达到成熟安全运营中心应具有的能力。

　　IBM在全球拥有10个自建安全运营中心来帮助客户进行远程安全运维，并拥有超过18年SOC的建设和运营经验。今年年初，IBM安全将Watson在网络安全领域的能力以QRadar的组件“Watson Advisor”的形式正式发布，并以此为契机推出了“认知型SOC”的概念，来推动Watson在网络安全领域的应用和下一代SOC的建设。

　　那么，拥有丰富SOC经验和前沿人工智能技术的IBM又是如何看待“安全运营中心”的呢?

　　一、SOC的运维核心

　　SOC作为一个复杂的实时响应系统，是人员、流程和技术的有机结合体。它可以协助管理人员进行事件分析、风险分析、预警管理和应急响应处理。对于SOC的建设与运营，以下三点至关重要：

　　技术是SOC的建立基础，它决定了该组织在各种情况下，甚至是在如持续攻击、自然灾害、设施故障的严苛条件下提供持续安全的能力;

　　SOC流程必须被文档化，并且在现有的标准和治理框架下持续实施，而相关流程也必须考虑企业相关安全策略，业务控制点和相关监管要求;

　　SOC的实际能力和运营者的水平是一致的，所以在前期策划时，为以安全为中心的组织准备独一无二的人员管理规划，将会提供显著的长期回报。

　　1. SOC内部如何运转

　　下面这个流程可能是SOC中最常见的：

　　SOC值班人员发现疑似攻击->IT部门统计相关资产状态、配置等信息，并对攻击进行核实->安全&IT部门向企业变更委员会提交攻击报告->变更委员会作出是否停服变更判断：

　　严重威胁核心业务系统，停止服务，打补丁，测试，上线;

　　不涉及核心业务系统，不停服，针对相应攻击更改WAF、IPS等网络边界安全设备配置进行基础性防护;

　　难以确定威胁严重程度，寻求第三方安全专家支持。

　　以上的流程，均由企业各部门在内部ITSM(IT服务管理)系统中开具工单串行完成。

　　那么，如果从能力建设层面来看，SOC又应该具备哪些方面的能力?

　　2. 成熟SOC应具有的三层能力

　　IBM认为，成熟的SOC应该注重三层能力的建设：

　　首先，应是运营层面的能力，例如发现(疑似)威胁或收到企业内/外部人员提交的安全威胁告警后，及时开启事件响应工单的能力;

　　其次，对误报的判断，对威胁的定位、定性和分类的能力，以便联系不同部门进行技术或业务层面的支持;

　　再次，和相关安全厂商、托管服务商、行业监管部门、公安甚至是国家相关部门建立联系和交流机制。

　　而这其中，SOC经理目前应该将主要的关注点放到第二层能力的建设上，这也是检测和响应能力最聚焦的一层。

　　需要注意的是，安全产品只是SOC在运营层面上的工具，将其简单的堆砌是“死”的;能够结合企业网络环境和业务特点灵活使用这些工具的人，同样是成熟SOC的核心。

　　此外，SOC还强调场景库的积累，即对已知的安全威胁的检测、响应模型，甚至可以细化到具体安全产品的策略配置。除了部分安全厂商巨头可以通过部署在客户SOC安全产品的反馈与分享实现全球场景库共用外，这一部分还属于客户的自有能力范畴。

　　3. 企业自建安全应急响应中心(SRC)

　　目前，国内很多互联网企业，诸如腾讯、蚂蚁金服、京东等，都有企业自建的安全应急响应中心(SRC)，以建立内部IT/安全部门和外界沟通的渠道。SRC的主要职责在于外部情报的搜集和汇总，这与SOC对内部情报的分析和判断是是相辅相成的。

　　如果企业没有足够的预算自建SOC或向第三方威胁情报平台进行查询，那么企业获得威胁情报的来源/白帽报告安全问题的途径就只有SRC(在wooyun.org被关停后)。

　　当然，除了情报收集外，SRC还要负责白帽社区的运营，联系企业内部相关部门进行漏洞验证、IT资产复审/修复、向内/外部的监管部门进行汇报、协助进行员工安全意识培训等。

　　自建SOC成本不菲，而在中国成熟的SRC模式已经可以看作SOC在外部情报收集和事件处理层面的雏形。

　　4. SOAPA——SOC的进化?

　　虽然很多人对真正成熟的SOC还不甚清晰，但是SOC这一概念，却有很大可能在近几年被新名词所替代。

　　今年的RSA大会，便提出在SOC中以SIEM为核心，整合终端检测与响应、事件响应、沙箱、威胁情报等综合性平台，形成安全运营与分析平台架构(SOAPA)，以便安全分析人员能够采用不同工具，进行实时的数据挖掘和威胁处置。

　　这亦是目前许多安全厂商打造自己SOC类产品体系的方向。

　　二、Watson&认知型SOC

　　那么Watson的加入，又会给SOC带来哪些新的惊喜?

　　Watson在安全领域一直致力于利用机器学习、自然语言处理等技术，帮助企业安全分析师减少在对之前需要人工收集、阅读和理解的威胁报告、博客文章等文本内容上所消耗的时间，并提供建议和依据来辅助决策。

　　在经过金融、旅游、能源、汽车等行业的40家500强企业真实网络中的安全环境(包括恶意软件、网络犯罪、异常行为等)测试后，Watson通过IBM App Exchange平台中QRadar组件的方式，正式将认知技术引入安全运营中心，并提出了认知型SOC的概念。

　　Watson能帮助SOC中的安全分析师做什么?IBM之前的一项研究表明，安全团队平均每天要从20万起安全事件中筛选出真正重要的问题。而Watson最重要的，就是帮助他们快速确定安全事件的优先级并展现出威胁是如何隐藏进网络环境中。

　　认知技术可以理解浩如烟海的结构化和非结构化数据，并借此帮助初级分析员快速提升业务水平。通过自动摄取诸如研究报告、最佳实践等信息，并提供实时的输入，而以往这种技能和洞察力只能从多年的经验中获得。同时，认知技术可以使用如机器学习、聚类、图挖掘和实体关系建模等分析方法，来识别潜在的威胁。它可以在攻击发生前，加速对高风险用户行为、数据泄露和恶意软件的检测。

　　当然，Watson并不会代替安全人员做决定。相反，通过将每天Watson的分析结果和人类安全分析师所得出的结论进行比对，Watson在学习，认知型SOC整体对威胁的防御能力也在进步。

　　在实际应用案例方面，IBM已于今年3月末与瑞士金融部门达成合作，利用Watson可以提供的认知型网络安全工具，帮助基础设施运营商SIX为瑞士金融市场提供更前沿的网络安全服务。

　　当然，这项全新服务将同时对SIX和IBM的客户开放，并将优先服务那些对本地安全性、监管、合规和审计能力有需求的银行业客户，以帮助他们遵守相关对的数据隐私和数据保护规范。同时，这两家公司还将合作开发并定义“下一代安全运营中心”的演进路线图，并聚焦在使用诸如人工智能等认知技术，在终端、网络和云端对威胁做出响应。

　　三、从SOC到态势感知

　　安全运营中心的核心是平台&人，而建设它的重要目标之一，就是要支撑对网络安全态势的感知。

　　态势感知本身是比较大的概念，覆盖感知、理解和预测三个层次，根据环境的变化，动态、快速的做出判断和处置决策。但是目前，国内态势感知在企业网络中的实践仍暴露出许多问题。因为取证滞后、IT资产难以全面掌控、忙于合规性检查、人才匮乏等原因，SOC目前的工作更多的是事后响应，甚至很难做到实时的检测。

　　在实现态势感知的能力要求方面，IBM认为以下五点至关重要：

　　1. 对企业现在IT资产和环境的全面把控

　　包括对企业现有的硬件、软件资产的和网络环境安全状态的全面评估和详尽记录，一遍在发现问题后可以快速定位问题资产。

　　2. 内部/外部威胁情报相结合

　　网络和安全设备上记录的日志，内网的可疑行为等内部情报，和接入第三方威胁情报查询/订阅平台、国内外的威胁情报厂商联盟、国家互联网应急中心等外部情报的搜集，甚至在敌人内部安插“眼线”，包括对黑市泄露数据的定期关注等，这些都是企业要主动去做的。内部和外部多方面的威胁情报在汇总后，才有可能对整个企业网络的安全形势形成判断。

　　还有一种比较特殊的情报获取，就是渗透测试，甚至是众测服务。在企业授权的前提下，主动从外部寻找企业网络、站点或应用的脆弱点，企业核实后再加以修复。

　　3. 对漏洞和风险的管理

　　包括安全漏洞的检测&修复、安全事件的定性等，要根据企业内部资产状态，并结合业务特点来定义。

　　4. 强调检测和响应的联动

　　“检测->发现疑似攻击->判断(即核实是否为误报)->响应”是大部分甲方安全人员的主要工作流程，目前安全架构还是集中在防御、检测和响应这三部分。企业不可能防御住所有安全威胁，但是却可以在事件/攻击发生的前期感知到。这也是目前态势感知更强调“检测”技术的原因。

　　同时，检测与响应的联动性至关重要，快速的响应可以帮助企业尽可能减小损失。具体的事件响应流程不同行业有不同的合规性要求，要针对不同等级的安全事件，影响的不同资产，将响应流程细化并进行规范化管理。

　　5. 可视化能力

　　可视化不是“华丽”的攻击动态演示，而应是对网络环境和资产的(安全)状态的一种深度洞察。今年二月初，IBM宣布完成了对 Agile 3 Solutions 的收购。Agile 3 Solutions的长处，在于其自行研发的软件可以提供与敏感数据保护相关的更好的可视化和风险管理能力，并为企业高层提供全面、直观且对业务友好的数据风险管控中心平台。

　　据悉，IBM已将其划分到IBM安全商务部的数据安全服务部门，以帮助Guardium分析企业敏感数据的风险，并对敏感数据进行重点的监测和保护。

　　责任编辑：DJ编辑