透过水晶球一瞥下一代SOC
今天,51CTO发表一篇译文《SOC 2.0:下一代安全运营中心先睹为快》,英文原文出自DarkReading,题为:SOC 2.0: A Crystal-Ball Glimpse Of The Next-Generation Security Operations Center。该文综合了多个业界厂商、服务商和第三方咨询公司的访谈,其主旨是提出了对于未来SOC技术发展方向的四点看法:
1)未来的SOC会花更多的时间用于安全分析,花更少的时间用于边界防御;
2)未来的SOC会花更多的时间用于确认新的未知威胁,花更少的时间用于将已知威胁列入黑名单;
3)未来的SOC会花更少的时间用于聚合事件,花更多的时间用于进行主动监控和智能化关联安全数据;
4)未来的SOC会花更多的时间用于跟安全服务提供商合作,花更少的时间用于自己单干。
附:51CTO译文全文
尽管大企业耗巨资用在技术上、花大量时间用在安全防御上,还是继续受到***的***和恶意软件的感染,情况之严重前所未有。很显然,传统的安全方法解决不了问题。考虑到这个严峻的现实,许多安全专业人员及为他们服务的厂商已开始在看待解决IT安全问题的方法方面进行一些缓慢而根本性的变化。专家们表示,而由于这些变化,将来大企业的安全部门、特别是安全运营中心(SOC)的工作方式可能与今天全然不同。
安全咨询公司Securosis的创始人Rich Mogull说:\"SOC中的人员需要设法作出更快速、更合理的反应--他们需要设法提高工作效率,需要设法缩短开始遭到***与阻止或消除***之间的时间。\"
为了获得这样的效率,企业可能需要在考虑安全的角度和花费时间的方式上作一些根本性转变。我们不妨看一看安全理念的一些变化,以及这些变化会给明天的SOC在将来的活动带来怎样的影响。
明天的SOC会花更多的时间用于安全分析,花更少的时间用于边界防御。
专家们表示,\"防御企业边界\"的传统理念渐渐过时了。由于用户变得移动性更强,而企业变得更相互依赖,某一家企业的\"安全边界\"正变得越来越难定义,想做到防御几乎是不可能的。
思科系统公司主席办公室高级副总裁兼首席执行官Don Proctor说:\"2007年,估计全球有大约5亿个与网络连接的设备。到2010年,这个数字将猛增到350亿个--相当于地球上每个人有5个设备。我们无法通过全部在端点处给它们打补丁的办法来确保安全。我们不得不向边界道别。\"
实际上,一些安全专业人员、甚至一些厂商在摈弃这个基本理念:边界是完全可以防御的。新的理念是:企业会受到危及,很可能已经受到了危及。
安全厂商NetWitness的首席执行官兼白宫前网络安全顾问Amit Yoran说:\"目前,安全团队无法确信某个主机没有遭到危及--坏人已经潜入到你的环境里面。所有真正严重的威胁已经潜入在网络里面。\"
尽管不是所有的安全专家都认同这种理念,但大多数一致认为,明天的安全团队用于分析日志和事件的时间肯定至少与目前用于建立边界防御机制的时间一样多。这意味着会更多地关注安全分析、调查取证和事件响应。
安全信息和事件管理(SIEM)工具开发商SenSage的首席执行官Joe Gottlieb说:\"将来,SOC中的人会发现,他们会把更多的时间用于分析数据,而不是用于分析安全。他们会加大数据挖掘方面的工作量,以查明问题根源。他们会更加关注'你遭到了******。现在怎么办?'\"
明天的SOC会花更多的时间用于确认新的未知威胁,花更少的时间用于将已知威胁列入黑名单。
连反病毒厂商现在都认同这个观点:围绕已知***的\"特征\"(signatures)构建安全防御机制的理念并不是什么有效的长久之计,而率先提出这个理念的正是反病毒厂商。
赛门铁克技术和响应部门的主管Gerry Egan最近发布该公司新的基于声誉的安全工具Ubiquity时说:\"十年前,我们每周可以识别出需要列入黑名单的5到10个新病毒。而现在,我们每天识别出的新特征多达1万到5万个。原来基于特征的模式变得有点过时了。\"
专家们表示,虽然基于特征的技术会继续是企业安全战略的一个部分,但明天的SOC的分析人员会将更多时间用于找出网络和系统行为方面可能表明有新***的变化。新兴技术有望改进检测零日威胁的能力,比如赛门铁克的Ubiquity、Dasient的Web Anti-Malware和FireEye的恶意软件防护系统,那是因为它们会竭力识别出行为和声誉方面的变化,而不是关注已知威胁。
Dasient公司的联合创始人兼首席技术官Neil Daswani说:\"由于如今的恶意软件与日俱增、不断变化,如果你还是试图完全通过***的特征来加以防范,那么注定会失败。我们的观念必须由关注代码是什么样转变成代码干什么事。\"
专家们表示,这意味着,下一代SOC的工作人员很可能会把比以往更多的时间用于分析恶意软件,甚至用于研究恶意软件。Mogull认为,明天的SOC需要根据恶意软件的特征,确定一系列独特的关联活动,从而实际上建立了专门针对特定威胁、风险和业务敏感性的一种威胁分析环境。
Mogull表示,下一代SOC还需要一种更合理的方法,以便迅速分析可能表明有新威胁的行为数据,并将其上报、列到安全团队的优先事项列表的首位。他表示,许多SOC会编写定制的脚本和用户接口,以便有助于使上报过程实现自动化,并加快分析和解决潜在安全问题的过程。
明天的SOC会花更少的时间用于聚合事件,花更多的时间用于进行主动监控和智能化关联安全数据。
多年来,SOC一直以安全信息和事件管理(SIEM)工具为主;这种工具可以收集网络上与安全有关的\"事件\"方面的信息,并将这些信息汇总到一个监控屏幕上。专家们表示,这种工具不会消失,但大多数专家、连SIEM系统厂商自己也都一致认为,下一代SOC中的安全监控必须变得比现在更智能化。
SIEM厂商SenSage的Gottlieb说:\"目前的安全监控环境只能让你大致了解发生的情况。大多数监控技术不能接受来自任何数据源的数据。即便如此,日志和SIEM系统中仍有大量数据需要检查,因此很难把有用数据与干扰数据隔离开来。\"
Mogull说,数据分析问题没有变得更容易处理。他说:\"SIEM中有大量数据,但到头来它是日志层数据。将来需要能够进行网络层分析,甚至是数据包层分析,而单单一个系统不可能完成所有这些分析。\"
下一代SOC会需要这种新技术:能将来自众多安全系统的数据关联起来,而且有助于一目了然地提供数据,让分析人员能够更迅速地寻遍大量安全信息,从中找出可能表明有威胁的那部分数据。实际上,SOC将来变得更明智的秘诀不是整合几个安全系统和应用软件,而是增强分析人员从许多不同的系统汇集相关数据,并关联起来查出威胁根源的能力。
思科的Proctor说:\"真正需要的是让你可以了解网络活动和性能的事件关联功能,那样就能知道什么是'正常'的。如果某台笔记本电脑以前从来不与外界联系,现在突然开始将数据发送到巴西,就需要能够明白它何时开始发送数据、发送了什么数据。\"他表示,最终,这种关联功能甚至可以扩展到物理系统,那样SOC还能识别安全门和监视摄像头的使用模式。
据一些专家声称,另外,将来下一代SOC的工作人员会加强主动监控,减弱被动监控。专家们强调,虽然SIEM和事件关联工具有助于更迅速地查明威胁的根源,但它们还是无法阻止***的发生。
\"我认为,实行被动监控、说我们已经遭到***的腔调是一种轻易认输的表现,而且有点奇怪,\"RedSeal Systems公司的营销副总裁Steve Dauber说,这家公司生产的工具用来测试安全策略的漏洞,并衡量企业的安全状况。\"如果你看一下来自Verizon公司最近的威胁调查报告的数据,会发现大多数威胁之所以会发生,是因为许多公司没有采取一些很简单的措施来确保系统安全。他们需要有更多的方法在威胁发生之前主动查明那些问题,而不是遭到***后再分析。\"
安全配置管理工具厂商AlgoSec的联合创始人兼首席技术官Avishai Wool认同这番观点。他说:\"我并不认同边界已死的说法。有许多方法可以更有效地预防***,但我们需要大大提高自动化程度,并且大大改进工具。人们无法配置虚拟专用网(***),现在有许多企业试图配置***。\"
RedSeal公司和AlgoSec公司提供的工具都让企业能够更有效地评估防火墙及其他安全系统的配置,从而有助于查找安全漏洞,并根据企业安全策略来测试漏洞。这种主动分析和测试,加上传统的漏洞扫描,目的在于帮助公司在坏人钻漏洞空子之前,找出安全系统存在的漏洞。
Mogull认为,数据泄漏预防(DLP)等一些现有的工具也有助于找出可能泄漏的地方,预防敏感数据离开企业环境。他说:\"DLP有时遭到安全人员的批评,原因是一些方法可以绕过它。但事实上,DLP对于过滤出站数据和识别复杂的顽固威胁大有帮助。许多坏人参与了威胁事件,但不是所有人都很狡猾。\"
明天的SOC会花更多的时间用于跟安全服务提供商合作,花更少的时间用于自己单干。
几乎从各个方面来看,安全威胁的数量和复杂性都在迅猛增长。Dasient公司近日发布的数字显示,互联网上遭到恶意软件感染的网站超过120万个,比一年前多了两倍多。美国计算机行业协会(CompTIA)上周发布的统计数据表明,在过去的一年里,近三分之二的企业至少遭到过一次威胁。
不过,专门用于IT安全的人力和预算资源几乎根本未见增长。Gartner公司在今年6月发布的一项调查中声称,安全开支占IT总预算的比例从2009年的6%减少到了今年的5%。显然,明天的SOC别指望单单通过增添内部人员和技术,就能够应对威胁越来越多的环境。
专家们表示,由于这个原因,许多企业指望依靠安全服务,帮助自己处理一部分防御工作。RSA、思科和赛门铁克等主要安全厂商提供的软件即服务(SaaS)解决方案越来越受欢迎,而Immunet、FireEye和Invincea等规模较小的新兴公司则在围绕服务、而不是围绕软件来发展业务。
另一家服务提供商Dasient的Daswani说:\"现在许多公司明白,部署客户端技术、不断打补丁的办法并非总是管用。我确信,所有合适的端点安全工具甚至到现在还没有出现在市面上。我们发现,从服务器端关注这些问题确实相当有效。\"
IDC公司的研究表明,全球安全服务市场将从去年的323亿美元,增加到2010年的441亿美元。专家们表示,虽然使用其中许多服务的将是中小型企业,但大企业中的SOC也会考虑利用安全厂商收集而来的恶意软件及其他威胁方面的数据。
但专家们表示,这并不意味着SOC工作人员的专长会变得不大重要。实际上大多数专家一致认为,下一代的安全分析人员一定要比过去更精明--不但要了解当前的威胁,还要了解这些威胁可能会给特定的企业环境带来什么影响。
SenSage公司的Gottlieb开玩笑说:\"业界希望给SOC配备廉价劳动力的想法落空了。安全工作不会变得更简单。将来的安全人员不但需要目前在防御的领域方面的专长,还要有联系上下文的专长,以便确定哪些组合的事件可能会带来威胁。除此之外,他们还需要有分析专长,以便能够查明威胁的根源以及如何阻止威胁。\"
透过水晶球一瞥下一代SOC相关推荐
- 360的下一代SOC是这个样子的
几乎所有大型企业或机构的IT系统中,都会有安全运营中心(SOC),它是网络安全防护体系从设备部署到系统建设,再到统一管理,这一发展过程的自然产物.但在国内的实际应用中,SOC的问题多多. 首先是数据类 ...
- 盘点2018年网络空间安全热点:GDRP,微隔离,容器安全,SOC······
一转眼2018年已经走到了尽头 白了头,累了心 但依然心怀憧憬 这一年来,企业服务圈内可谓是风云变幻,各类新产品.新技术.新模式,甚至新概念层出不穷. 作为企业服务领域的从业者,整个2018年,我们都 ...
- 汽车SoC全生命周期功能+网络安全架构设计
随着汽车电子产业的快速发展,供应链中复杂的SoC设计,硅片生命周期管理(SLM)以及芯片现场监控和管理面临新的挑战. 要确保这些复杂设备正确和安全的运行,不仅需要功能安全来检查由于硅缺陷和老化导致的可 ...
- L4级自动驾驶方案---安霸CV2 SOC芯片
CV2能够提供深度神经网络和立体视觉处理,瞄向的是ADAS和自动驾驶汽车市场. 两大优势 与竞争对手相比,安霸拥有两个优势.第一,安霸在2015年收购了欧洲一家研发计算机视觉和智能汽车控制系统的公司- ...
- 行业观察 | SoC
本文对 SoC 进行不完全总结. 更新:2022 / 02 / 25 行业观察 | SoC 总览 概念 组成 周期 原因 产业链及市场 上游 下游 产品 厂商 SoC V.S MCU MCU SoC ...
- CS4:新一代SOC与态势感知大会 六家安全厂商分享核心解决方案
今年8月,安全牛发布了基于全景图中"SOC/iSOC"子领域厂商所展开调研的<新一代SOC研究报告>(包含技术和市场指南),在业内反响颇为强烈.以此为契机,安全牛在上周 ...
- 2016年chatGPT之父Altman与马斯克的深度对话(值得一看)
2016年9月,现今OpenAI CEO,ChatGPT之父,时任创投公司Y Combinator的总裁Sam Altman在特斯拉加州弗里蒙特工厂采访了埃隆·马斯克.马斯克阐述了创建OpenAI的初 ...
- AI 边缘计算平台 - BeagleBone AI 64 简介
BeagleBone AI 64 简介 Beagleboard 组织 2022 年 6 月份发布了BeagleBone® AI-64平台的B1版本,由seeedstudio开发,是一款用于开发人工智能 ...
- 苹果宣布推出新的Mac Mini和MacBook Pro与M2 Pro和M2 Max
今天,苹果公司宣布了由新的M2.M2 Pro和M2 Max芯片驱动的新的M2动力Mac mini和MacBook Pro电脑.我们有详细的资料. 简要介绍 苹果公司已经发布了两款新的M2芯片,即M2 ...
最新文章
- React Native通信机制详解
- 【AI视野·今日CV 计算机视觉论文速览 第187期 part2】Fri, 18 Dec 2020
- OKR与影响地图,别再傻傻分不清
- 《天天数学》连载29:一月二十九日
- 十分钟快速Maven下载和安装说明
- 此一去,世间再无马爸爸,相逢已是马老师
- 计算机命令无法到达打印机,单击打印命令时打印机无响是怎么回事
- Java原子类Atomic详解
- 微信小程序生成海报并保存到本地(附带二维码生成)
- mysql 时区时间_MySql的时区(serverTimezone)引发的血案
- 炸⾦花棋牌游戏Python
- 爬取94神马网的电影信息
- 波特兰 计算机专业,波特兰州立大学工程学院和计算机科学专业水平考试流程2012017.pdf...
- 服务器与客户端的TCP连接
- ACCESS_REFUSED - Login was refused using authentication mechanism PLAIN. For details see the broker
- 配置微信小程序开发分享朋友圈功能
- SFP(Soft Filter Pruning)笔记
- 了解Java线程优先级,更要知道对应操作系统的优先级,不然会踩坑
- 第一章 身处数据时代,揭开大数据的面纱
- 信号时频域分析 ——EMD/BEMD/LMD 算法原理
热门文章
- Waymo自动驾驶报告:平均21万公里一次事故,严重事故都是人类司机的锅
- 孙正义下重金的机械臂独角兽梦碎:估值最高40亿美元,做披萨太难吃,只好去做披萨盒...
- MLPerf发布首个AI芯片推理测试排行榜:阿里平头哥含光800获得多项第一
- 阿里AI再揽2员大将:挖角高通、360,年薪百万美元
- Microsoft Excel软件打开文件出现文件的格式与文件扩展名指定格式不一致?
- 使用pt-online-schema-change 修复主从数据表数据不一致
- Android 开源库获取途径整理
- linux下配java环境的小结
- 【百度地图API】建立全国银行位置查询系统(四)——如何利用百度地图的数据生成自己的标注...
- python字符串find函数实现_python中实现查找字符串的find函数