SOC 2.0:下一代安全運營中心先睹為快
原創【51CTO 11月29日外電頭條】盡管大企業耗巨資用在技術上、花大量時間用在安全防御上,還是繼續受到黑客的攻擊和惡意軟件的感染,情況之嚴重前所未有。很顯然,傳統的安全方法解決不了問題。
考慮到這個嚴峻的現實,許多安全專業人員及為他們服務的廠商已開始在看待解決IT安全問題的方法方面進行一些緩慢而根本性的變化。專家們表示,而由于這些變化,將來大企業的安全部門、特別是安全運營中心(SOC)的工作方式可能與今天全然不同。
安全咨詢公司Securosis的創始人Rich Mogull說:"SOC中的人員需要設法作出更快速、更合理的反應--他們需要設法提高工作效率,需要設法縮短開始遭到攻擊與阻止或消除攻擊之間的時間。"
為了獲得這樣的效率,企業可能需要在考慮安全的角度和花費時間的方式上作一些根本性轉變。我們不妨看一看安全理念的一些變化,以及這些變化會給明天的SOC在將來的活動帶來怎樣的影響。
明天的SOC會花更多的時間用于安全分析,花更少的時間用于邊界防御。
專家們表示,"防御企業邊界"的傳統理念漸漸過時了。由于用戶變得移動性更強,而企業變得更相互依賴,某一家企業的"安全邊界"正變得越來越難定義,想做到防御幾乎是不可能的。
思科系統公司主席辦公室高級副總裁兼首席執行官Don Proctor說:"2007年,估計全球有大約5億個與網絡連接的設備。到2010年,這個數字將猛增到350億個--相當于地球上每個人有5個設備。我們無法通過全部在端點處給它們打補丁的辦法來確保安全。我們不得不向邊界道別。"
實際上,一些安全專業人員、甚至一些廠商在擯棄這個基本理念:邊界是完全可以防御的。新的理念是:企業會受到危及,很可能已經受到了危及。
安全廠商NetWitness的首席執行官兼白宮前網絡安全顧問Amit Yoran說:"目前,安全團隊無法確信某個主機沒有遭到危及--壞人已經潛入到你的環境里面。所有真正嚴重的威脅已經潛入在網絡里面。"
盡管不是所有的安全專家都認同這種理念,但大多數一致認為,明天的安全團隊用于分析日志和事件的時間肯定至少與目前用于建立邊界防御機制的時間一樣多。這意味著會更多地關注安全分析、調查取證和事件響應。
安全信息和事件管理(SIEM)工具開發商SenSage的首席執行官Joe Gottlieb說:"將來,SOC中的人會發現,他們會把更多的時間用于分析數據,而不是用于分析安全。他們會加大數據挖掘方面的工作量,以查明問題根源。他們會更加關注'你遭到了黑客攻擊。現在怎么辦?'"
明天的SOC會花更多的時間用于確認新的未知威脅,花更少的時間用于將已知威脅列入黑名單。
連反病毒廠商現在都認同這個觀點:圍繞已知攻擊的"特征"(signatures)構建安全防御機制的理念并不是什么有效的長久之計,而率先提出這個理念的正是反病毒廠商。
賽門鐵克技術和響應部門的主管Gerry Egan最近發布該公司新的基于聲譽的安全工具Ubiquity時說:"十年前,我們每周可以識別出需要列入黑名單的5到10個新病毒。而現在,我們每天識別出的新特征多達1萬到5萬個。原來基于特征的模式變得有點過時了。"
專家們表示,雖然基于特征的技術會繼續是企業安全戰略的一個部分,但明天的SOC的分析人員會將更多時間用于找出網絡和系統行為方面可能表明有新攻擊的變化。新興技術有望改進檢測零日威脅的能力,比如賽門鐵克的Ubiquity、Dasient的Web Anti-Malware和FireEye的惡意軟件防護系統,那是因為它們會竭力識別出行為和聲譽方面的變化,而不是關注已知威脅。
Dasient公司的聯合創始人兼首席技術官Neil Daswani說:"由于如今的惡意軟件與日俱增、不斷變化,如果你還是試圖完全通過攻擊的特征來加以防范,那么注定會失敗。我們的觀念必須由關注代碼是什么樣轉變成代碼干什么事。"
專家們表示,這意味著,下一代SOC的工作人員很可能會把比以往更多的時間用于分析惡意軟件,甚至用于研究惡意軟件。Mogull認為,明天的SOC需要根據惡意軟件的特征,確定一系列獨特的關聯活動,從而實際上建立了專門針對特定威脅、風險和業務敏感性的一種威脅分析環境。
Mogull表示,下一代SOC還需要一種更合理的方法,以便迅速分析可能表明有新威脅的行為數據,并將其上報、列到安全團隊的優先事項列表的首位。他表示,許多SOC會編寫定制的腳本和用戶接口,以便有助于使上報過程實現自動化,并加快分析和解決潛在安全問題的過程。
明天的SOC會花更少的時間用于聚合事件,花更多的時間用于進行主動監控和智能化關聯安全數據。
多年來,SOC一直以安全信息和事件管理(SIEM)工具為主;這種工具可以收集網絡上與安全有關的"事件"方面的信息,并將這些信息匯總到一個監控屏幕上。專家們表示,這種工具不會消失,但大多數專家、連SIEM系統廠商自己也都一致認為,下一代SOC中的安全監控必須變得比現在更智能化。
SIEM廠商SenSage的Gottlieb說:"目前的安全監控環境只能讓你大致了解發生的情況。大多數監控技術不能接受來自任何數據源的數據。即便如此,日志和SIEM系統中仍有大量數據需要檢查,因此很難把有用數據與干擾數據隔離開來。"
Mogull說,數據分析問題沒有變得更容易處理。他說:"SIEM中有大量數據,但到頭來它是日志層數據。將來需要能夠進行網絡層分析,甚至是數據包層分析,而單單一個系統不可能完成所有這些分析。"
下一代SOC會需要這種新技術:能將來自眾多安全系統的數據關聯起來,而且有助于一目了然地提供數據,讓分析人員能夠更迅速地尋遍大量安全信息,從中找出可能表明有威脅的那部分數據。實際上,SOC將來變得更明智的秘訣不是整合幾個安全系統和應用軟件,而是增強分析人員從許多不同的系統匯集相關數據,并關聯起來查出威脅根源的能力。
思科的Proctor說:"真正需要的是讓你可以了解網絡活動和性能的事件關聯功能,那樣就能知道什么是'正常'的。如果某臺筆記本電腦以前從來不與外界聯系,現在突然開始將數據發送到巴西,就需要能夠明白它何時開始發送數據、發送了什么數據。"他表示,最終,這種關聯功能甚至可以擴展到物理系統,那樣SOC還能識別安全門和監視攝像頭的使用模式。
據一些專家聲稱,另外,將來下一代SOC的工作人員會加強主動監控,減弱被動監控。專家們強調,雖然SIEM和事件關聯工具有助于更迅速地查明威脅的根源,但它們還是無法阻止攻擊的發生。
"我認為,實行被動監控、說我們已經遭到攻擊的腔調是一種輕易認輸的表現,而且有點奇怪,"RedSeal Systems公司的營銷副總裁Steve Dauber說,這家公司生產的工具用來測試安全策略的漏洞,并衡量企業的安全狀況。"如果你看一下來自Verizon公司最近的威脅調查報告的數據,會發現大多數威脅之所以會發生,是因為許多公司沒有采取一些很簡單的措施來確保系統安全。他們需要有更多的方法在威脅發生之前主動查明那些問題,而不是遭到攻擊后再分析。" #p#
安全配置管理工具廠商AlgoSec的聯合創始人兼首席技術官Avishai Wool認同這番觀點。他說:"我并不認同邊界已死的說法。有許多方法可以更有效地預防攻擊,但我們需要大大提高自動化程度,并且大大改進工具。人們無法配置虛擬專用網(VPN),現在有許多企業試圖配置VPN。"
RedSeal公司和AlgoSec公司提供的工具都讓企業能夠更有效地評估防火墻及其他安全系統的配置,從而有助于查找安全漏洞,并根據企業安全策略來測試漏洞。這種主動分析和測試,加上傳統的漏洞掃描,目的在于幫助公司在壞人鉆漏洞空子之前,找出安全系統存在的漏洞。
Mogull認為,數據泄漏預防(DLP)等一些現有的工具也有助于找出可能泄漏的地方,預防敏感數據離開企業環境。他說:"DLP有時遭到安全人員的批評,原因是一些方法可以繞過它。但事實上,DLP對于過濾出站數據和識別復雜的頑固威脅大有幫助。許多壞人參與了威脅事件,但不是所有人都很狡猾。"
明天的SOC會花更多的時間用于跟安全服務提供商合作,花更少的時間用于自己單干。
幾乎從各個方面來看,安全威脅的數量和復雜性都在迅猛增長。Dasient公司近日發布的數字顯示,互聯網上遭到惡意軟件感染的網站超過120萬個,比一年前多了兩倍多。美國計算機行業協會(CompTIA)上周發布的統計數據表明,在過去的一年里,近三分之二的企業至少遭到過一次威脅。
不過,專門用于IT安全的人力和預算資源幾乎根本未見增長。Gartner公司在今年6月發布的一項調查中聲稱,安全開支占IT總預算的比例從2009年的6%減少到了今年的5%。顯然,明天的SOC別指望單單通過增添內部人員和技術,就能夠應對威脅越來越多的環境。
專家們表示,由于這個原因,許多企業指望依靠安全服務,幫助自己處理一部分防御工作。RSA、思科和賽門鐵克等主要安全廠商提供的軟件即服務(SaaS)解決方案越來越受歡迎,而Immunet、FireEye和Invincea等規模較小的新興公司則在圍繞服務、而不是圍繞軟件來發展業務。
另一家服務提供商Dasient的Daswani說:"現在許多公司明白,部署客戶端技術、不斷打補丁的辦法并非總是管用。我確信,所有合適的端點安全工具甚至到現在還沒有出現在市面上。我們發現,從服務器端關注這些問題確實相當有效。"
IDC公司的研究表明,全球安全服務市場將從去年的323億美元,增加到2010年的441億美元。專家們表示,雖然使用其中許多服務的將是中小型企業,但大企業中的SOC也會考慮利用安全廠商收集而來的惡意軟件及其他威脅方面的數據。
但專家們表示,這并不意味著SOC工作人員的專長會變得不大重要。實際上大多數專家一致認為,下一代的安全分析人員一定要比過去更精明--不但要了解當前的威脅,還要了解這些威脅可能會給特定的企業環境帶來什么影響。
SenSage公司的Gottlieb開玩笑說:"業界希望給SOC配備廉價勞動力的想法落空了。安全工作不會變得更簡單。將來的安全人員不但需要目前在防御的領域方面的專長,還要有聯系上下文的專長,以便確定哪些組合的事件可能會帶來威脅。除此之外,他們還需要有分析專長,以便能夠查明威脅的根源以及如何阻止威脅。"
【51CTO.com譯稿,轉載請注明原文作譯者和出處。】
http://www.darkreading.com/security/security-management/228300332/soc-2-0-a-crystal-ball-glimpse-of-the-next-generation-security-operations-center.html
【編輯推薦】
