【51CTO 11月29日外電頭條】盡管大企業(yè)耗巨資用在技術(shù)上、花大量時(shí)間用在安全防御上，還是繼續(xù)受到黑客的攻擊和惡意軟件的感染，情況之嚴(yán)重前所未有。很顯然，傳統(tǒng)的安全方法解決不了問(wèn)題。

考慮到這個(gè)嚴(yán)峻的現(xiàn)實(shí)，許多安全專(zhuān)業(yè)人員及為他們服務(wù)的廠商已開(kāi)始在看待解決IT安全問(wèn)題的方法方面進(jìn)行一些緩慢而根本性的變化。專(zhuān)家們表示，而由于這些變化，將來(lái)大企業(yè)的安全部門(mén)、特別是安全運(yùn)營(yíng)中心（SOC）的工作方式可能與今天全然不同。

安全咨詢(xún)公司Securosis的創(chuàng)始人Rich Mogull說(shuō)："SOC中的人員需要設(shè)法作出更快速、更合理的反應(yīng)--他們需要設(shè)法提高工作效率，需要設(shè)法縮短開(kāi)始遭到攻擊與阻止或消除攻擊之間的時(shí)間。"

為了獲得這樣的效率，企業(yè)可能需要在考慮安全的角度和花費(fèi)時(shí)間的方式上作一些根本性轉(zhuǎn)變。我們不妨看一看安全理念的一些變化，以及這些變化會(huì)給明天的SOC在將來(lái)的活動(dòng)帶來(lái)怎樣的影響。

明天的SOC會(huì)花更多的時(shí)間用于安全分析，花更少的時(shí)間用于邊界防御。

專(zhuān)家們表示，"防御企業(yè)邊界"的傳統(tǒng)理念漸漸過(guò)時(shí)了。由于用戶(hù)變得移動(dòng)性更強(qiáng)，而企業(yè)變得更相互依賴(lài)，某一家企業(yè)的"安全邊界"正變得越來(lái)越難定義，想做到防御幾乎是不可能的。

思科系統(tǒng)公司主席辦公室高級(jí)副總裁兼首席執(zhí)行官Don Proctor說(shuō)："2007年，估計(jì)全球有大約5億個(gè)與網(wǎng)絡(luò)連接的設(shè)備。到2010年，這個(gè)數(shù)字將猛增到350億個(gè)--相當(dāng)于地球上每個(gè)人有5個(gè)設(shè)備。我們無(wú)法通過(guò)全部在端點(diǎn)處給它們打補(bǔ)丁的辦法來(lái)確保安全。我們不得不向邊界道別。"

實(shí)際上，一些安全專(zhuān)業(yè)人員、甚至一些廠商在擯棄這個(gè)基本理念：邊界是完全可以防御的。新的理念是：企業(yè)會(huì)受到危及，很可能已經(jīng)受到了危及。

安全廠商N(yùn)etWitness的首席執(zhí)行官兼白宮前網(wǎng)絡(luò)安全顧問(wèn)Amit Yoran說(shuō)："目前，安全團(tuán)隊(duì)無(wú)法確信某個(gè)主機(jī)沒(méi)有遭到危及--壞人已經(jīng)潛入到你的環(huán)境里面。所有真正嚴(yán)重的威脅已經(jīng)潛入在網(wǎng)絡(luò)里面。"

盡管不是所有的安全專(zhuān)家都認(rèn)同這種理念，但大多數(shù)一致認(rèn)為，明天的安全團(tuán)隊(duì)用于分析日志和事件的時(shí)間肯定至少與目前用于建立邊界防御機(jī)制的時(shí)間一樣多。這意味著會(huì)更多地關(guān)注安全分析、調(diào)查取證和事件響應(yīng)。

安全信息和事件管理（SIEM）工具開(kāi)發(fā)商SenSage的首席執(zhí)行官Joe Gottlieb說(shuō)："將來(lái)，SOC中的人會(huì)發(fā)現(xiàn)，他們會(huì)把更多的時(shí)間用于分析數(shù)據(jù)，而不是用于分析安全。他們會(huì)加大數(shù)據(jù)挖掘方面的工作量，以查明問(wèn)題根源。他們會(huì)更加關(guān)注'你遭到了黑客攻擊。現(xiàn)在怎么辦？'"

明天的SOC會(huì)花更多的時(shí)間用于確認(rèn)新的未知威脅，花更少的時(shí)間用于將已知威脅列入黑名單。

連反病毒廠商現(xiàn)在都認(rèn)同這個(gè)觀點(diǎn)：圍繞已知攻擊的"特征"（signatures）構(gòu)建安全防御機(jī)制的理念并不是什么有效的長(zhǎng)久之計(jì)，而率先提出這個(gè)理念的正是反病毒廠商。

賽門(mén)鐵克技術(shù)和響應(yīng)部門(mén)的主管Gerry Egan最近發(fā)布該公司新的基于聲譽(yù)的安全工具Ubiquity時(shí)說(shuō)："十年前，我們每周可以識(shí)別出需要列入黑名單的5到10個(gè)新病毒。而現(xiàn)在，我們每天識(shí)別出的新特征多達(dá)1萬(wàn)到5萬(wàn)個(gè)。原來(lái)基于特征的模式變得有點(diǎn)過(guò)時(shí)了。"

專(zhuān)家們表示，雖然基于特征的技術(shù)會(huì)繼續(xù)是企業(yè)安全戰(zhàn)略的一個(gè)部分，但明天的SOC的分析人員會(huì)將更多時(shí)間用于找出網(wǎng)絡(luò)和系統(tǒng)行為方面可能表明有新攻擊的變化。新興技術(shù)有望改進(jìn)檢測(cè)零日威脅的能力，比如賽門(mén)鐵克的Ubiquity、Dasient的Web Anti-Malware和FireEye的惡意軟件防護(hù)系統(tǒng)，那是因?yàn)樗鼈儠?huì)竭力識(shí)別出行為和聲譽(yù)方面的變化，而不是關(guān)注已知威脅。

Dasient公司的聯(lián)合創(chuàng)始人兼首席技術(shù)官Neil Daswani說(shuō)："由于如今的惡意軟件與日俱增、不斷變化，如果你還是試圖完全通過(guò)攻擊的特征來(lái)加以防范，那么注定會(huì)失敗。我們的觀念必須由關(guān)注代碼是什么樣轉(zhuǎn)變成代碼干什么事。"

專(zhuān)家們表示，這意味著，下一代SOC的工作人員很可能會(huì)把比以往更多的時(shí)間用于分析惡意軟件，甚至用于研究惡意軟件。Mogull認(rèn)為，明天的SOC需要根據(jù)惡意軟件的特征，確定一系列獨(dú)特的關(guān)聯(lián)活動(dòng)，從而實(shí)際上建立了專(zhuān)門(mén)針對(duì)特定威脅、風(fēng)險(xiǎn)和業(yè)務(wù)敏感性的一種威脅分析環(huán)境。

Mogull表示，下一代SOC還需要一種更合理的方法，以便迅速分析可能表明有新威脅的行為數(shù)據(jù)，并將其上報(bào)、列到安全團(tuán)隊(duì)的優(yōu)先事項(xiàng)列表的首位。他表示，許多SOC會(huì)編寫(xiě)定制的腳本和用戶(hù)接口，以便有助于使上報(bào)過(guò)程實(shí)現(xiàn)自動(dòng)化，并加快分析和解決潛在安全問(wèn)題的過(guò)程。

明天的SOC會(huì)花更少的時(shí)間用于聚合事件，花更多的時(shí)間用于進(jìn)行主動(dòng)監(jiān)控和智能化關(guān)聯(lián)安全數(shù)據(jù)。

多年來(lái)，SOC一直以安全信息和事件管理（SIEM）工具為主；這種工具可以收集網(wǎng)絡(luò)上與安全有關(guān)的"事件"方面的信息，并將這些信息匯總到一個(gè)監(jiān)控屏幕上。專(zhuān)家們表示，這種工具不會(huì)消失，但大多數(shù)專(zhuān)家、連SIEM系統(tǒng)廠商自己也都一致認(rèn)為，下一代SOC中的安全監(jiān)控必須變得比現(xiàn)在更智能化。

SIEM廠商SenSage的Gottlieb說(shuō)："目前的安全監(jiān)控環(huán)境只能讓你大致了解發(fā)生的情況。大多數(shù)監(jiān)控技術(shù)不能接受來(lái)自任何數(shù)據(jù)源的數(shù)據(jù)。即便如此，日志和SIEM系統(tǒng)中仍有大量數(shù)據(jù)需要檢查，因此很難把有用數(shù)據(jù)與干擾數(shù)據(jù)隔離開(kāi)來(lái)。"

Mogull說(shuō)，數(shù)據(jù)分析問(wèn)題沒(méi)有變得更容易處理。他說(shuō)："SIEM中有大量數(shù)據(jù)，但到頭來(lái)它是日志層數(shù)據(jù)。將來(lái)需要能夠進(jìn)行網(wǎng)絡(luò)層分析，甚至是數(shù)據(jù)包層分析，而單單一個(gè)系統(tǒng)不可能完成所有這些分析。"

下一代SOC會(huì)需要這種新技術(shù)：能將來(lái)自眾多安全系統(tǒng)的數(shù)據(jù)關(guān)聯(lián)起來(lái)，而且有助于一目了然地提供數(shù)據(jù)，讓分析人員能夠更迅速地尋遍大量安全信息，從中找出可能表明有威脅的那部分?jǐn)?shù)據(jù)。實(shí)際上，SOC將來(lái)變得更明智的秘訣不是整合幾個(gè)安全系統(tǒng)和應(yīng)用軟件，而是增強(qiáng)分析人員從許多不同的系統(tǒng)匯集相關(guān)數(shù)據(jù)，并關(guān)聯(lián)起來(lái)查出威脅根源的能力。

思科的Proctor說(shuō)："真正需要的是讓你可以了解網(wǎng)絡(luò)活動(dòng)和性能的事件關(guān)聯(lián)功能，那樣就能知道什么是'正常'的。如果某臺(tái)筆記本電腦以前從來(lái)不與外界聯(lián)系，現(xiàn)在突然開(kāi)始將數(shù)據(jù)發(fā)送到巴西，就需要能夠明白它何時(shí)開(kāi)始發(fā)送數(shù)據(jù)、發(fā)送了什么數(shù)據(jù)。"他表示，最終，這種關(guān)聯(lián)功能甚至可以擴(kuò)展到物理系統(tǒng)，那樣SOC還能識(shí)別安全門(mén)和監(jiān)視攝像頭的使用模式。

據(jù)一些專(zhuān)家聲稱(chēng)，另外，將來(lái)下一代SOC的工作人員會(huì)加強(qiáng)主動(dòng)監(jiān)控，減弱被動(dòng)監(jiān)控。專(zhuān)家們強(qiáng)調(diào)，雖然SIEM和事件關(guān)聯(lián)工具有助于更迅速地查明威脅的根源，但它們還是無(wú)法阻止攻擊的發(fā)生。

"我認(rèn)為，實(shí)行被動(dòng)監(jiān)控、說(shuō)我們已經(jīng)遭到攻擊的腔調(diào)是一種輕易認(rèn)輸?shù)谋憩F(xiàn)，而且有點(diǎn)奇怪，"RedSeal Systems公司的營(yíng)銷(xiāo)副總裁Steve Dauber說(shuō)，這家公司生產(chǎn)的工具用來(lái)測(cè)試安全策略的漏洞，并衡量企業(yè)的安全狀況。"如果你看一下來(lái)自Verizon公司最近的威脅調(diào)查報(bào)告的數(shù)據(jù)，會(huì)發(fā)現(xiàn)大多數(shù)威脅之所以會(huì)發(fā)生，是因?yàn)樵S多公司沒(méi)有采取一些很簡(jiǎn)單的措施來(lái)確保系統(tǒng)安全。他們需要有更多的方法在威脅發(fā)生之前主動(dòng)查明那些問(wèn)題，而不是遭到攻擊后再分析。" #p#

安全配置管理工具廠商AlgoSec的聯(lián)合創(chuàng)始人兼首席技術(shù)官Avishai Wool認(rèn)同這番觀點(diǎn)。他說(shuō)："我并不認(rèn)同邊界已死的說(shuō)法。有許多方法可以更有效地預(yù)防攻擊，但我們需要大大提高自動(dòng)化程度，并且大大改進(jìn)工具。人們無(wú)法配置虛擬專(zhuān)用網(wǎng)（VPN），現(xiàn)在有許多企業(yè)試圖配置VPN。"

RedSeal公司和AlgoSec公司提供的工具都讓企業(yè)能夠更有效地評(píng)估防火墻及其他安全系統(tǒng)的配置，從而有助于查找安全漏洞，并根據(jù)企業(yè)安全策略來(lái)測(cè)試漏洞。這種主動(dòng)分析和測(cè)試，加上傳統(tǒng)的漏洞掃描，目的在于幫助公司在壞人鉆漏洞空子之前，找出安全系統(tǒng)存在的漏洞。

Mogull認(rèn)為，數(shù)據(jù)泄漏預(yù)防（DLP）等一些現(xiàn)有的工具也有助于找出可能泄漏的地方，預(yù)防敏感數(shù)據(jù)離開(kāi)企業(yè)環(huán)境。他說(shuō)："DLP有時(shí)遭到安全人員的批評(píng)，原因是一些方法可以繞過(guò)它。但事實(shí)上，DLP對(duì)于過(guò)濾出站數(shù)據(jù)和識(shí)別復(fù)雜的頑固威脅大有幫助。許多壞人參與了威脅事件，但不是所有人都很狡猾。"

明天的SOC會(huì)花更多的時(shí)間用于跟安全服務(wù)提供商合作，花更少的時(shí)間用于自己?jiǎn)胃伞?/p>

幾乎從各個(gè)方面來(lái)看，安全威脅的數(shù)量和復(fù)雜性都在迅猛增長(zhǎng)。Dasient公司近日發(fā)布的數(shù)字顯示，互聯(lián)網(wǎng)上遭到惡意軟件感染的網(wǎng)站超過(guò)120萬(wàn)個(gè)，比一年前多了兩倍多。美國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)（CompTIA）上周發(fā)布的統(tǒng)計(jì)數(shù)據(jù)表明，在過(guò)去的一年里，近三分之二的企業(yè)至少遭到過(guò)一次威脅。

不過(guò)，專(zhuān)門(mén)用于IT安全的人力和預(yù)算資源幾乎根本未見(jiàn)增長(zhǎng)。Gartner公司在今年6月發(fā)布的一項(xiàng)調(diào)查中聲稱(chēng)，安全開(kāi)支占IT總預(yù)算的比例從2009年的6%減少到了今年的5%。顯然，明天的SOC別指望單單通過(guò)增添內(nèi)部人員和技術(shù)，就能夠應(yīng)對(duì)威脅越來(lái)越多的環(huán)境。

專(zhuān)家們表示，由于這個(gè)原因，許多企業(yè)指望依靠安全服務(wù)，幫助自己處理一部分防御工作。RSA、思科和賽門(mén)鐵克等主要安全廠商提供的軟件即服務(wù)（SaaS）解決方案越來(lái)越受歡迎，而Immunet、FireEye和Invincea等規(guī)模較小的新興公司則在圍繞服務(wù)、而不是圍繞軟件來(lái)發(fā)展業(yè)務(wù)。

另一家服務(wù)提供商Dasient的Daswani說(shuō)："現(xiàn)在許多公司明白，部署客戶(hù)端技術(shù)、不斷打補(bǔ)丁的辦法并非總是管用。我確信，所有合適的端點(diǎn)安全工具甚至到現(xiàn)在還沒(méi)有出現(xiàn)在市面上。我們發(fā)現(xiàn)，從服務(wù)器端關(guān)注這些問(wèn)題確實(shí)相當(dāng)有效。"

IDC公司的研究表明，全球安全服務(wù)市場(chǎng)將從去年的323億美元，增加到2010年的441億美元。專(zhuān)家們表示，雖然使用其中許多服務(wù)的將是中小型企業(yè)，但大企業(yè)中的SOC也會(huì)考慮利用安全廠商收集而來(lái)的惡意軟件及其他威脅方面的數(shù)據(jù)。

但專(zhuān)家們表示，這并不意味著SOC工作人員的專(zhuān)長(zhǎng)會(huì)變得不大重要。實(shí)際上大多數(shù)專(zhuān)家一致認(rèn)為，下一代的安全分析人員一定要比過(guò)去更精明--不但要了解當(dāng)前的威脅，還要了解這些威脅可能會(huì)給特定的企業(yè)環(huán)境帶來(lái)什么影響。

SenSage公司的Gottlieb開(kāi)玩笑說(shuō)："業(yè)界希望給SOC配備廉價(jià)勞動(dòng)力的想法落空了。安全工作不會(huì)變得更簡(jiǎn)單。將來(lái)的安全人員不但需要目前在防御的領(lǐng)域方面的專(zhuān)長(zhǎng)，還要有聯(lián)系上下文的專(zhuān)長(zhǎng)，以便確定哪些組合的事件可能會(huì)帶來(lái)威脅。除此之外，他們還需要有分析專(zhuān)長(zhǎng)，以便能夠查明威脅的根源以及如何阻止威脅。"

【51CTO.com譯稿，轉(zhuǎn)載請(qǐng)注明原文作譯者和出處?！?/p>

http://www.darkreading.com/security/security-management/228300332/soc-2-0-a-crystal-ball-glimpse-of-the-next-generation-security-operations-center.html
 

【編輯推薦】

1. 走中國(guó)特色的SOC之路
2. 從國(guó)情出發(fā)是SOC成功發(fā)展的基礎(chǔ)
3. 深入SOC2.0：揭密SOC實(shí)時(shí)事件分析引擎
4. Arbor Networks實(shí)現(xiàn)基于云技術(shù)的新一代安全運(yùn)營(yíng)中心SOC