数字化转型背景下的新一代安全运营和态势感知建设

“

11月14日，在IDC主办的2017 IDC数字化转型年度盛典暨第二届中国数字化转型领军用户颁奖典礼上，360企业安全副总裁韩永刚受邀参加并作了主题为《数据驱动的新一代安全运营与态势感知》的演讲。

”

 

建设新一代SOC的技术核心点包括：在战略&战术上充分应用威胁情报；应用深度网络流量分析；结合终端检测及响应（EDR）；更多的高级分析方法，如用户与实体行为分析；追踪调查（Investigation&Hunting）；可视化交互分析。

数字化转型下的安全新常态

现在越来越多企业、政府部门面临数字化转型的压力，从传统IT和安全开始进入到新的时代，环境发生巨大变化。

一方面，国家法律法规日益完善，《网络安全法》施行、等级保护2.0制度出来，对企业要求更加严格；另一方面，大家涉足的领域从传统企业、互联网公司扩张到线上线下结合、工业互联网等更广范围，出现了许多问题，比如APT攻击、类似永恒之蓝的网络军火民用化代表事件、新发现的200万IoT设备僵尸网络等。

这个过程中，旧有的安全威胁形势发生了转变，需要我们重新思考安全体系建设。传统的被动围墙式防护思路无法应对复杂的高级威胁，安全防御应该将重点过渡到主动、对抗式的检测和响应。

过去我们花费很多精力在架构安全、被动防御上，但新形势下，那些已经不够了，需要在被动防御基础上建设积极防御和威胁情报能力，重新审视和构建原有体系，把检测响应作为重点，利用情报方法掌握敌情，最终先发制人。

 

构建新一代SOC

现在的安全管理者和运营者都面临一个困惑：太多技术产品要甄别筛选，怎么才能找到最合适的，来解决实际问题呢？

我认为还是要从自身业务出发，需要明确最关键业务的防护目标和范围有哪些？安全检测的内容有哪些？不管是做态势感知或是安全运营，都是依据业务的需求来建设；不管是解决外部威胁、内部威胁或是监管合规，最终都收拢到对业务的理解上。

在新一代SOC产品上，目前大家已有一些共识。比如核心的数据分析部分，过去我们只是依赖日志，现在需要更多地把新的技术加进去，包括威胁情报平台、EDR、流量深度分析、用户实体行为分析、资产发现等；再比如安全运营、应急响应以及协同联动，和原来方式都发生了较大变化。下边我将以360企业安全NGSOC系统为例，来讲解如何将上述技术运用起来，如何和流程、人的能力结合起来，最终实现所谓新一代的SOC体系。

首先是数据采集，摸清资产、采集数据。摸清资产有很多方法，像网络资源探测、流量监听、终端检测等，优先把核心资产确定清楚；数据采集上，有层次有目标的采集各种类型纬度的数据，尤其是过去通常被忽略的终端和流量数据，这部分才是最有效的。

再往下，处理分析数据的大数据平台，现在相关开源技术都很成熟，用什么平台架构都行，最重要的是适用。从最简易的mysql到ES架构再到hadoop架构，都可以搭建出来，但成本是否可接受？搭建出来是否适应自身业务需要呢？顺便提下，hadoop架构在深度流量还原上可以发挥重要作用，一是前期检测，二是历史数据留存，让我们后续能回头翻看利用。

图：不同大数据平台开源架构之间的指标对比

接下来是对情报的运用，高精威胁IOC推送、交互式的情报检测以及攻击研判和攻击者画像。最近一两年通过和SOC结合建立模型，可做的越来越多，比如利用情报做更多的反向搜索；使用UBA行为分析接入更多未知行为的采集和考量；使用机器学习更好的判断异常行为等等。

我们把人、大数据平台和一些工具串联起来，持续地搜索、关联、拓展各类线索，就能实现交互式的调查分析。以永恒之蓝为例，系统里可以看到它在内网出现的时间、发生的行为，能找出最开始在内网爆发的过程，以及和云端情报数据结合，还可以关联到外部其它的高级威胁事件。

在以上环节，技术手段和数据只是基础，更多还是需要人的参与，不管是日常处置人员、分析研判人员还是决策者。大家谈态势感知，大多是用一个华丽的界面去展示对整体情况的掌控，很少谈里面。其实里边是很辛苦的，需要很多日常的处理、很基础的处置分析工作，只有数据、工具、能力结合人员处理，才能把整个系统真正有效运转起来。

 

人是安全运营的核心

我们做出更好的运营平台，结合数据、工具来帮助企业进行安全运营，其目的更多是为了降低人员使用的难度，提高效率。

在“数据驱动安全2.0”技术理念中，我们提出目前面临的两个失效定律：假设技术上检测缺乏手段、响应处置无法高效闭环，运营上安全能力不足、安全人才短缺，无论是哪一方面有问题，最终SOC平台将以失败告终。

这张图是我们对当前安全人才短缺状况的理解，目前行业缺少攻防、高精尖的人才，但更缺乏一线每天处理日常事件的运营人员，缺能把系统事件处理好、用好的人员。

SOC，不仅仅是一项技术或一个平台，它更多应该是安全运营体系的建设，包括平台、数据、工具、业务、事件的流转处置等等，最重要的是让我们的人运转起来。这是我对新一代SOC的理解，希望能对大家思考如何应对安全新常态有所帮助。

 

原文始发于微信公众号（奇安信集团）：数字化转型背景下的新一代安全运营和态势感知建设