【51CTO 11月29日外電頭條】盡管大企業(yè)耗巨資用在技術上、花大量時間用在安全防御上，還是繼續(xù)受到黑客的攻擊和惡意軟件的感染，情況之嚴重前所未有。很顯然，傳統(tǒng)的安全方法解決不了問題。

考慮到這個嚴峻的現(xiàn)實，許多安全專業(yè)人員及為他們服務的廠商已開始在看待解決IT安全問題的方法方面進行一些緩慢而根本性的變化。專家們表示，而由于這些變化，將來大企業(yè)的安全部門、特別是安全運營中心（SOC）的工作方式可能與今天全然不同。

安全咨詢公司Securosis的創(chuàng)始人Rich Mogull說："SOC中的人員需要設法作出更快速、更合理的反應--他們需要設法提高工作效率，需要設法縮短開始遭到攻擊與阻止或消除攻擊之間的時間。"

為了獲得這樣的效率，企業(yè)可能需要在考慮安全的角度和花費時間的方式上作一些根本性轉變。我們不妨看一看安全理念的一些變化，以及這些變化會給明天的SOC在將來的活動帶來怎樣的影響。

明天的SOC會花更多的時間用于安全分析，花更少的時間用于邊界防御。

專家們表示，"防御企業(yè)邊界"的傳統(tǒng)理念漸漸過時了。由于用戶變得移動性更強，而企業(yè)變得更相互依賴，某一家企業(yè)的"安全邊界"正變得越來越難定義，想做到防御幾乎是不可能的。

思科系統(tǒng)公司主席辦公室高級副總裁兼首席執(zhí)行官Don Proctor說："2007年，估計全球有大約5億個與網(wǎng)絡連接的設備。到2010年，這個數(shù)字將猛增到350億個--相當于地球上每個人有5個設備。我們無法通過全部在端點處給它們打補丁的辦法來確保安全。我們不得不向邊界道別。"

實際上，一些安全專業(yè)人員、甚至一些廠商在擯棄這個基本理念：邊界是完全可以防御的。新的理念是：企業(yè)會受到危及，很可能已經(jīng)受到了危及。

安全廠商NetWitness的首席執(zhí)行官兼白宮前網(wǎng)絡安全顧問Amit Yoran說："目前，安全團隊無法確信某個主機沒有遭到危及--壞人已經(jīng)潛入到你的環(huán)境里面。所有真正嚴重的威脅已經(jīng)潛入在網(wǎng)絡里面。"

盡管不是所有的安全專家都認同這種理念，但大多數(shù)一致認為，明天的安全團隊用于分析日志和事件的時間肯定至少與目前用于建立邊界防御機制的時間一樣多。這意味著會更多地關注安全分析、調查取證和事件響應。

安全信息和事件管理（SIEM）工具開發(fā)商SenSage的首席執(zhí)行官Joe Gottlieb說："將來，SOC中的人會發(fā)現(xiàn)，他們會把更多的時間用于分析數(shù)據(jù)，而不是用于分析安全。他們會加大數(shù)據(jù)挖掘方面的工作量，以查明問題根源。他們會更加關注'你遭到了黑客攻擊?，F(xiàn)在怎么辦？'"

明天的SOC會花更多的時間用于確認新的未知威脅，花更少的時間用于將已知威脅列入黑名單。

連反病毒廠商現(xiàn)在都認同這個觀點：圍繞已知攻擊的"特征"（signatures）構建安全防御機制的理念并不是什么有效的長久之計，而率先提出這個理念的正是反病毒廠商。

賽門鐵克技術和響應部門的主管Gerry Egan最近發(fā)布該公司新的基于聲譽的安全工具Ubiquity時說："十年前，我們每周可以識別出需要列入黑名單的5到10個新病毒。而現(xiàn)在，我們每天識別出的新特征多達1萬到5萬個。原來基于特征的模式變得有點過時了。"

專家們表示，雖然基于特征的技術會繼續(xù)是企業(yè)安全戰(zhàn)略的一個部分，但明天的SOC的分析人員會將更多時間用于找出網(wǎng)絡和系統(tǒng)行為方面可能表明有新攻擊的變化。新興技術有望改進檢測零日威脅的能力，比如賽門鐵克的Ubiquity、Dasient的Web Anti-Malware和FireEye的惡意軟件防護系統(tǒng)，那是因為它們會竭力識別出行為和聲譽方面的變化，而不是關注已知威脅。

Dasient公司的聯(lián)合創(chuàng)始人兼首席技術官Neil Daswani說："由于如今的惡意軟件與日俱增、不斷變化，如果你還是試圖完全通過攻擊的特征來加以防范，那么注定會失敗。我們的觀念必須由關注代碼是什么樣轉變成代碼干什么事。"

專家們表示，這意味著，下一代SOC的工作人員很可能會把比以往更多的時間用于分析惡意軟件，甚至用于研究惡意軟件。Mogull認為，明天的SOC需要根據(jù)惡意軟件的特征，確定一系列獨特的關聯(lián)活動，從而實際上建立了專門針對特定威脅、風險和業(yè)務敏感性的一種威脅分析環(huán)境。

Mogull表示，下一代SOC還需要一種更合理的方法，以便迅速分析可能表明有新威脅的行為數(shù)據(jù)，并將其上報、列到安全團隊的優(yōu)先事項列表的首位。他表示，許多SOC會編寫定制的腳本和用戶接口，以便有助于使上報過程實現(xiàn)自動化，并加快分析和解決潛在安全問題的過程。

明天的SOC會花更少的時間用于聚合事件，花更多的時間用于進行主動監(jiān)控和智能化關聯(lián)安全數(shù)據(jù)。

多年來，SOC一直以安全信息和事件管理（SIEM）工具為主；這種工具可以收集網(wǎng)絡上與安全有關的"事件"方面的信息，并將這些信息匯總到一個監(jiān)控屏幕上。專家們表示，這種工具不會消失，但大多數(shù)專家、連SIEM系統(tǒng)廠商自己也都一致認為，下一代SOC中的安全監(jiān)控必須變得比現(xiàn)在更智能化。

SIEM廠商SenSage的Gottlieb說："目前的安全監(jiān)控環(huán)境只能讓你大致了解發(fā)生的情況。大多數(shù)監(jiān)控技術不能接受來自任何數(shù)據(jù)源的數(shù)據(jù)。即便如此，日志和SIEM系統(tǒng)中仍有大量數(shù)據(jù)需要檢查，因此很難把有用數(shù)據(jù)與干擾數(shù)據(jù)隔離開來。"

Mogull說，數(shù)據(jù)分析問題沒有變得更容易處理。他說："SIEM中有大量數(shù)據(jù)，但到頭來它是日志層數(shù)據(jù)。將來需要能夠進行網(wǎng)絡層分析，甚至是數(shù)據(jù)包層分析，而單單一個系統(tǒng)不可能完成所有這些分析。"

下一代SOC會需要這種新技術：能將來自眾多安全系統(tǒng)的數(shù)據(jù)關聯(lián)起來，而且有助于一目了然地提供數(shù)據(jù)，讓分析人員能夠更迅速地尋遍大量安全信息，從中找出可能表明有威脅的那部分數(shù)據(jù)。實際上，SOC將來變得更明智的秘訣不是整合幾個安全系統(tǒng)和應用軟件，而是增強分析人員從許多不同的系統(tǒng)匯集相關數(shù)據(jù)，并關聯(lián)起來查出威脅根源的能力。

思科的Proctor說："真正需要的是讓你可以了解網(wǎng)絡活動和性能的事件關聯(lián)功能，那樣就能知道什么是'正常'的。如果某臺筆記本電腦以前從來不與外界聯(lián)系，現(xiàn)在突然開始將數(shù)據(jù)發(fā)送到巴西，就需要能夠明白它何時開始發(fā)送數(shù)據(jù)、發(fā)送了什么數(shù)據(jù)。"他表示，最終，這種關聯(lián)功能甚至可以擴展到物理系統(tǒng)，那樣SOC還能識別安全門和監(jiān)視攝像頭的使用模式。

據(jù)一些專家聲稱，另外，將來下一代SOC的工作人員會加強主動監(jiān)控，減弱被動監(jiān)控。專家們強調，雖然SIEM和事件關聯(lián)工具有助于更迅速地查明威脅的根源，但它們還是無法阻止攻擊的發(fā)生。

"我認為，實行被動監(jiān)控、說我們已經(jīng)遭到攻擊的腔調是一種輕易認輸?shù)谋憩F(xiàn)，而且有點奇怪，"RedSeal Systems公司的營銷副總裁Steve Dauber說，這家公司生產(chǎn)的工具用來測試安全策略的漏洞，并衡量企業(yè)的安全狀況。"如果你看一下來自Verizon公司最近的威脅調查報告的數(shù)據(jù)，會發(fā)現(xiàn)大多數(shù)威脅之所以會發(fā)生，是因為許多公司沒有采取一些很簡單的措施來確保系統(tǒng)安全。他們需要有更多的方法在威脅發(fā)生之前主動查明那些問題，而不是遭到攻擊后再分析。" #p#

安全配置管理工具廠商AlgoSec的聯(lián)合創(chuàng)始人兼首席技術官Avishai Wool認同這番觀點。他說："我并不認同邊界已死的說法。有許多方法可以更有效地預防攻擊，但我們需要大大提高自動化程度，并且大大改進工具。人們無法配置虛擬專用網(wǎng)（VPN），現(xiàn)在有許多企業(yè)試圖配置VPN。"

RedSeal公司和AlgoSec公司提供的工具都讓企業(yè)能夠更有效地評估防火墻及其他安全系統(tǒng)的配置，從而有助于查找安全漏洞，并根據(jù)企業(yè)安全策略來測試漏洞。這種主動分析和測試，加上傳統(tǒng)的漏洞掃描，目的在于幫助公司在壞人鉆漏洞空子之前，找出安全系統(tǒng)存在的漏洞。

Mogull認為，數(shù)據(jù)泄漏預防（DLP）等一些現(xiàn)有的工具也有助于找出可能泄漏的地方，預防敏感數(shù)據(jù)離開企業(yè)環(huán)境。他說："DLP有時遭到安全人員的批評，原因是一些方法可以繞過它。但事實上，DLP對于過濾出站數(shù)據(jù)和識別復雜的頑固威脅大有幫助。許多壞人參與了威脅事件，但不是所有人都很狡猾。"

明天的SOC會花更多的時間用于跟安全服務提供商合作，花更少的時間用于自己單干。

幾乎從各個方面來看，安全威脅的數(shù)量和復雜性都在迅猛增長。Dasient公司近日發(fā)布的數(shù)字顯示，互聯(lián)網(wǎng)上遭到惡意軟件感染的網(wǎng)站超過120萬個，比一年前多了兩倍多。美國計算機行業(yè)協(xié)會（CompTIA）上周發(fā)布的統(tǒng)計數(shù)據(jù)表明，在過去的一年里，近三分之二的企業(yè)至少遭到過一次威脅。

不過，專門用于IT安全的人力和預算資源幾乎根本未見增長。Gartner公司在今年6月發(fā)布的一項調查中聲稱，安全開支占IT總預算的比例從2009年的6%減少到了今年的5%。顯然，明天的SOC別指望單單通過增添內部人員和技術，就能夠應對威脅越來越多的環(huán)境。

專家們表示，由于這個原因，許多企業(yè)指望依靠安全服務，幫助自己處理一部分防御工作。RSA、思科和賽門鐵克等主要安全廠商提供的軟件即服務（SaaS）解決方案越來越受歡迎，而Immunet、FireEye和Invincea等規(guī)模較小的新興公司則在圍繞服務、而不是圍繞軟件來發(fā)展業(yè)務。

另一家服務提供商Dasient的Daswani說："現(xiàn)在許多公司明白，部署客戶端技術、不斷打補丁的辦法并非總是管用。我確信，所有合適的端點安全工具甚至到現(xiàn)在還沒有出現(xiàn)在市面上。我們發(fā)現(xiàn)，從服務器端關注這些問題確實相當有效。"

IDC公司的研究表明，全球安全服務市場將從去年的323億美元，增加到2010年的441億美元。專家們表示，雖然使用其中許多服務的將是中小型企業(yè)，但大企業(yè)中的SOC也會考慮利用安全廠商收集而來的惡意軟件及其他威脅方面的數(shù)據(jù)。

但專家們表示，這并不意味著SOC工作人員的專長會變得不大重要。實際上大多數(shù)專家一致認為，下一代的安全分析人員一定要比過去更精明--不但要了解當前的威脅，還要了解這些威脅可能會給特定的企業(yè)環(huán)境帶來什么影響。

SenSage公司的Gottlieb開玩笑說："業(yè)界希望給SOC配備廉價勞動力的想法落空了。安全工作不會變得更簡單。將來的安全人員不但需要目前在防御的領域方面的專長，還要有聯(lián)系上下文的專長，以便確定哪些組合的事件可能會帶來威脅。除此之外，他們還需要有分析專長，以便能夠查明威脅的根源以及如何阻止威脅。"

【51CTO.com譯稿，轉載請注明原文作譯者和出處?！?/p>

http://www.darkreading.com/security/security-management/228300332/soc-2-0-a-crystal-ball-glimpse-of-the-next-generation-security-operations-center.html
 

【編輯推薦】

1. 走中國特色的SOC之路
2. 從國情出發(fā)是SOC成功發(fā)展的基礎
3. 深入SOC2.0：揭密SOC實時事件分析引擎
4. Arbor Networks實現(xiàn)基于云技術的新一代安全運營中心SOC