在上一個(gè)討論中，提及了SOC，于是，zeroflag也發(fā)表了一個(gè)文章，下面還有很多相關(guān)討論。各位SOC同仁可以一看。zeroflag稱(chēng)自己并不做SOC，只是以前研究過(guò)一年而已，足見(jiàn)SOC之熱。呵呵。
這里也留存一份快照：
關(guān)于SOC的一點(diǎn)討論
作者 zeroflag | 2011-01-02 21:02
一、現(xiàn)在的SOC是怎么做的

現(xiàn)有市面上的SOC產(chǎn)品在功能上各有各的特點(diǎn)，但是總的說(shuō)來(lái)，核心功能都是以統(tǒng)一收集日志（主要是syslog日志，也有SNMP拿到的信息，有些還能收集NetFlow/NetStream/S-Flow等日志）為基礎(chǔ)，再將收集上來(lái)的日志加以標(biāo)準(zhǔn)化進(jìn)行存儲(chǔ)，再對(duì)這些日志進(jìn)行一些處理（如歸并、根據(jù)策略進(jìn)行關(guān)聯(lián)等），再加以呈現(xiàn)（可以是實(shí)時(shí)呈現(xiàn)在屏幕上，也可以生成報(bào)表）。

以上是SOC的核心功能，在此之外一般還會(huì)有工單管理功能，也即一條告警過(guò)來(lái)以后就形成工單，讓管理員和各級(jí)主管可以跟蹤一個(gè)安全事件的處理過(guò)程。相當(dāng)于集成了一個(gè)OA系統(tǒng)。

有些SOC還會(huì)集成一些工具，比如漏洞掃描工具或者集成IDS配套。事實(shí)上，很多SOC的原型都是廠(chǎng)家IDS的管理端，在IDS管理端上增加收集其他廠(chǎng)家其他類(lèi)型產(chǎn)品的功能，再做關(guān)聯(lián)分析而成。

除了產(chǎn)品設(shè)計(jì)以外，現(xiàn)有SOC在實(shí)施過(guò)程中還有一個(gè)非常重要的工作，就是做日志接口的開(kāi)發(fā)。由于市面上的安全產(chǎn)品種類(lèi)繁多，品牌繁雜，又沒(méi)有統(tǒng)一的日志標(biāo)準(zhǔn)，比如天融信的防火墻，其不同版本的日志格式都不一樣。故此任何產(chǎn)品都不可能兼容所有產(chǎn)品，那么在實(shí)施的時(shí)候，為了把客戶(hù)現(xiàn)有的產(chǎn)品都納入進(jìn)來(lái)就必須進(jìn)行接口的二次開(kāi)發(fā)。否則必然會(huì)有一部分產(chǎn)品的日志收集不上來(lái)，或者收集上來(lái)以后識(shí)別不出。

二、SOC目前的問(wèn)題

SOC在客戶(hù)那里最大的問(wèn)題就是用不起來(lái)，很多客戶(hù)也覺(jué)得SOC說(shuō)的很好，實(shí)際用起來(lái)完全不是那么回事。個(gè)人分析，主要問(wèn)題有以下幾個(gè)：

* 由于日志來(lái)源本身的可用性問(wèn)題，導(dǎo)致SOC不適用于安全的事前和事中處理。
無(wú)論是IDS還是防病毒又或者IPS的日志，都存在誤報(bào)和漏報(bào)的問(wèn)題。對(duì)于誤報(bào)，SOC其實(shí)沒(méi)有很好的方法加以識(shí)別。沒(méi)有可信的來(lái)源，在此基礎(chǔ)上所給出的建議等也就成了無(wú)本之木。而另外一些可信的日志來(lái)源也存在問(wèn)題，比如防火墻日志盡管可信，但是信息量太少，在出現(xiàn)問(wèn)題后追查時(shí)倒是可用，但是用于事前判斷***往往沒(méi)什么意義。而IPS報(bào)出的高危日志（假設(shè)不是誤報(bào)）往往都已經(jīng)直接進(jìn)行過(guò)阻斷，沒(méi)必要對(duì)其進(jìn)一步處理。綜上，由于日志來(lái)源的問(wèn)題，SOC基本上不適用于安全的事前和事中處理。
* 受限于客戶(hù)的技術(shù)水平和其他因素，導(dǎo)致關(guān)聯(lián)分析很難用起來(lái)。
SOC的一個(gè)故事就是通過(guò)關(guān)聯(lián)分析發(fā)現(xiàn)***行為，分析***結(jié)果并定位***路徑。但是關(guān)聯(lián)分析的使用是有很多限制的。首先是要知道分析什么，或者說(shuō)監(jiān)視什么問(wèn)題，否則都不知道該把哪些日志關(guān)聯(lián)起來(lái)，這就決定了SOC的關(guān)聯(lián)分析不可能處理未知問(wèn)題。其次定制管理分析策略需要對(duì)整個(gè)系統(tǒng)的日志有著詳細(xì)的了解，同一個(gè)問(wèn)題在不同環(huán)境下關(guān)聯(lián)分析的策略是不同的。舉個(gè)例子，我們?cè)?jīng)給客戶(hù)定制過(guò)發(fā)現(xiàn)ARP病毒的關(guān)聯(lián)分析模板，其策略是利用Cisco交換機(jī)的MAC沖突日志，具體策略是當(dāng)10s內(nèi)沖突超過(guò)3次即認(rèn)為網(wǎng)內(nèi)有ARP病毒，但是如果當(dāng)時(shí)客戶(hù)有防病毒系統(tǒng)的話(huà)，直接引用防病毒系統(tǒng)的日志就OK了。分析環(huán)境定制關(guān)聯(lián)策略是需要非常高的技術(shù)水平的，不要說(shuō)客戶(hù)的工程師，即使是廠(chǎng)家工程師，也不可能將所有設(shè)備的日志都研究清楚。因此，關(guān)聯(lián)分析策略是需要有一定技術(shù)能力的工程師進(jìn)行長(zhǎng)期磨合和調(diào)整的，而受限于成本，廠(chǎng)家和客戶(hù)都不可能長(zhǎng)期搞這種事情。
* 對(duì)SOC系統(tǒng)本身的定位不清
由于廠(chǎng)家的忽悠或者其他原因，客戶(hù)經(jīng)常會(huì)對(duì)SOC系統(tǒng)抱有過(guò)高的期望，這使得客戶(hù)見(jiàn)到實(shí)際產(chǎn)品時(shí)往往很失望。這是對(duì)SOC的功能定位不清。
另外，如果SOC牽扯了工單管理，也即進(jìn)入了客戶(hù)的管理流程，這和客戶(hù)的部門(mén)職能，甚至組織架構(gòu)都是有關(guān)系的，這也使得這部分功能要不需要重新做二次開(kāi)發(fā)，要么很難用起來(lái)。這是對(duì)SOC的應(yīng)用定位不清。

以上是我分析SOC目前使用不好的主要問(wèn)題，前兩條是主要的技術(shù)問(wèn)題，其實(shí)技術(shù)問(wèn)題還有很多，如NTP的問(wèn)題等等，但是以上兩條是我認(rèn)為最主要的兩條。而對(duì)SOC系統(tǒng)本身的定位不清則是使用的問(wèn)題。

三、技術(shù)的SOC和管理的SOC

SOC在剛推出時(shí)，主要理論依據(jù)是“三分技術(shù)、七分管理”理論，認(rèn)為SOC是技術(shù)和管理的結(jié)合點(diǎn)。而如前面分析，SOC其實(shí)即沒(méi)有解決技術(shù)問(wèn)題，也沒(méi)有解決管理問(wèn)題，這其實(shí)就是SOC的定位問(wèn)題。

在定位方面，有技術(shù)的SOC和管理的SOC兩種。SOC究竟應(yīng)該是技術(shù)的？還是管理的？筆者認(rèn)為廠(chǎng)家的SOC產(chǎn)品應(yīng)該是技術(shù)的，客戶(hù)的SOC系統(tǒng)應(yīng)該是管理的。聽(tīng)起來(lái)有點(diǎn)和稀泥，但是卻是最符合現(xiàn)實(shí)的。

從廠(chǎng)家角度說(shuō)，以及從客戶(hù)對(duì)廠(chǎng)家提供的SOC產(chǎn)品的期望角度來(lái)說(shuō)，SOC產(chǎn)品應(yīng)該是技術(shù)的，主要提供的應(yīng)該是對(duì)系統(tǒng)日志的統(tǒng)一收集管理，如果有可能則做一點(diǎn)安全設(shè)備的集中配置管理。也就是說(shuō)在解決方案中，SOC應(yīng)該提供的應(yīng)該是日志審計(jì)+配置管理的職能，如果做不到配置管理，那就做純粹的日志審計(jì)使用。這也是SOC實(shí)施成功的第一要件，降低客戶(hù)期望。

從客戶(hù)應(yīng)用角度說(shuō)，SOC應(yīng)該為客戶(hù)的安全管理起到作用，也就應(yīng)該起到安全OA的作用，但是如前所述，這可能牽扯到客戶(hù)部門(mén)職能和組織架構(gòu)的問(wèn)題，因此應(yīng)該和其他OA系統(tǒng)一樣，根據(jù)實(shí)際情況做定制開(kāi)發(fā)。不排除可以先提供一個(gè)比較普適性原型，然后在這個(gè)原型上做開(kāi)發(fā)，但是這部分的定制開(kāi)發(fā)可以說(shuō)是必要的。

通過(guò)標(biāo)準(zhǔn)性的日志審計(jì)+配置管理，結(jié)合定制開(kāi)發(fā)的安全OA系統(tǒng)，最終可以給客戶(hù)提供一個(gè)管理的SOC。

四、一個(gè)簡(jiǎn)單的SOC的模型

安全事件的處理流程可以簡(jiǎn)化為：“觸發(fā)”-》“決策”-》“處理”的循環(huán)，在加上一個(gè)全過(guò)程的“審計(jì)”或者“監(jiān)控”。

其中“觸發(fā)”不只是靠日志收集和告警，原因就是前面說(shuō)的日志源的可用性問(wèn)題，應(yīng)是人工觸發(fā)和SOC日志觸發(fā)相結(jié)合。但是“觸發(fā)”以后，需要在SOC系統(tǒng)里面快速匯總相關(guān)日志，分析事件原因，并形成處理意見(jiàn)提供給“決策”。

“決策”主要是根據(jù)SOC系統(tǒng)分析出的事件原因和處理意見(jiàn)進(jìn)行決策。因?yàn)榭赡苄枰嗖块T(mén)配合（比如網(wǎng)絡(luò)管理部門(mén)和系統(tǒng)管理部門(mén)配合），因此“決策”實(shí)際上是一個(gè)協(xié)調(diào)過(guò)程。

“處理”就是根據(jù)“決策”的結(jié)論，各個(gè)部門(mén)進(jìn)行技術(shù)操作，化解安全事件，恢復(fù)系統(tǒng)到正常狀態(tài)。

而對(duì)“觸發(fā)”、“決策”和“處理”的全過(guò)程應(yīng)該有一個(gè)“監(jiān)控”和“審計(jì)”的部分，留存證據(jù)，分清責(zé)任。

五、誰(shuí)來(lái)使用SOC

這其實(shí)是SOC能否起到作用的關(guān)鍵。一萬(wàn)個(gè)客戶(hù)就會(huì)有一萬(wàn)個(gè)不同的SOC，搞清楚誰(shuí)來(lái)使用SOC也是決定一個(gè)SOC成敗的關(guān)鍵。筆者認(rèn)為可以分為以下幾種：

* 客戶(hù)的安全管理部門(mén)
這是要達(dá)到目前我們宣稱(chēng)的SOC作用的最佳使用者。這個(gè)部門(mén)的權(quán)限一定要高，才能將SOC系統(tǒng)的最大效能發(fā)揮。此時(shí)SOC可以實(shí)現(xiàn)“觸發(fā)”、“決策”、“處理”和“監(jiān)控”的全部?jī)?nèi)容。
順便說(shuō)一下我對(duì)客戶(hù)IT部門(mén)架構(gòu)的理解。隨著CIO地位的提升，CIO下屬應(yīng)該有三個(gè)主要的部門(mén)，需求分析部門(mén)（主要負(fù)責(zé)和業(yè)務(wù)部門(mén)溝通，分析IT需求），IT維護(hù)部門(mén)（負(fù)責(zé)日常的運(yùn)維），IT審計(jì)部門(mén)，有能力的大型企業(yè)可能還有自己的開(kāi)發(fā)部門(mén)，負(fù)責(zé)一般性的業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)。安全管理部門(mén)應(yīng)該隸屬于審計(jì)部門(mén)，不負(fù)責(zé)安全設(shè)備的維護(hù)。而安全設(shè)備的管理和運(yùn)維則應(yīng)該根據(jù)設(shè)備形態(tài)歸屬于不同的IT維護(hù)部門(mén)，比如防火墻應(yīng)該屬于網(wǎng)絡(luò)運(yùn)維，CA和主機(jī)加固軟件則應(yīng)該屬于系統(tǒng)管理等。
這種情況應(yīng)該是理想情況，但實(shí)際上好像沒(méi)有任何一個(gè)地方是這么做的，應(yīng)該是非常高的IT應(yīng)用水平才會(huì)出現(xiàn)這種架構(gòu)，呵呵！如果是另外一個(gè)極端，客戶(hù)IT水平很低，IT部門(mén)甚至沒(méi)有下屬分支，其實(shí)也屬于這種情況，也可以這么用，只不過(guò)系統(tǒng)本身會(huì)簡(jiǎn)單的多。
* 客戶(hù)的運(yùn)維部門(mén)
有些客戶(hù)有專(zhuān)門(mén)的安全部，負(fù)責(zé)防火墻等設(shè)備的運(yùn)維。有些則是將安全劃分在網(wǎng)絡(luò)下面，屬于網(wǎng)絡(luò)運(yùn)維的一個(gè)分支。不管哪種情況，這種SOC往往不需要“決策”，甚至無(wú)法有效的“處理”。原因很簡(jiǎn)單，因?yàn)檫@個(gè)部門(mén)沒(méi)有足夠的權(quán)限去驅(qū)動(dòng)其他部門(mén)（如系統(tǒng)管理部門(mén)）去動(dòng)作。此時(shí)要做的，是推動(dòng)一個(gè)能夠統(tǒng)管全局的領(lǐng)導(dǎo)（分管IT的副總）作為一個(gè)獨(dú)立的決策點(diǎn)，這樣也能實(shí)現(xiàn)SOC的全過(guò)程，只不過(guò)這時(shí)，非重大的安全事件其實(shí)也不能走這個(gè)流程，畢竟沒(méi)人愿意處理個(gè)終端病毒問(wèn)題而去麻煩副總。因此，這種情況下，事件的分級(jí)處理就顯得非常重要。如果連推動(dòng)分管領(lǐng)導(dǎo)都很難做到，那么SOC主要的作用，其實(shí)就是形成報(bào)表，并在出現(xiàn)安全事件時(shí)能夠輔助分析事件原因。
* IT外包的運(yùn)維
此時(shí)SOC即可以作為IT外包的服務(wù)工具（功能與情況一基本類(lèi)似），也可以作為對(duì)IT外包的管理工具。后者的功能就主要是對(duì)安全事件的整個(gè)處理過(guò)程加以監(jiān)控了。

六、SOC的實(shí)施

前面提到，現(xiàn)在的SOC在實(shí)施過(guò)程中，都需要對(duì)接口進(jìn)行開(kāi)發(fā)，這是繞不過(guò)去的。除此以外，應(yīng)該對(duì)集成的安全OA進(jìn)行基于原型的二次開(kāi)發(fā)。這樣才能形成一套客戶(hù)用起來(lái)還比較順手的SOC。除此以外，SOC在實(shí)施過(guò)程中還有一個(gè)重要的內(nèi)容就是關(guān)聯(lián)策略的定制，在收取一定費(fèi)用的前提下，廠(chǎng)家可以派一個(gè)有經(jīng)驗(yàn)的工程師對(duì)客戶(hù)現(xiàn)網(wǎng)設(shè)備日志進(jìn)行一次比較全面的分析，并和客戶(hù)溝通其所關(guān)心的問(wèn)題，定制出一套客戶(hù)所需要的關(guān)聯(lián)策略。這個(gè)過(guò)程不可能太短，至少需要1個(gè)月，要想真正做好甚至可能需要2個(gè)月。這其實(shí)也是考驗(yàn)廠(chǎng)家能力的地方。但是最重要的是，在SOC實(shí)施之前，要告訴客戶(hù)在它的環(huán)境下，SOC究竟能做到什么樣子，讓客戶(hù)對(duì)SOC有一個(gè)合理的預(yù)期是SOC實(shí)施成敗的關(guān)鍵。

通過(guò)這樣的一個(gè)SOC的實(shí)施過(guò)程，對(duì)前面所提到的SOC所存在的問(wèn)題可以基本上做到規(guī)避。比如，不讓客戶(hù)以為通過(guò)SOC可以發(fā)現(xiàn)未知***，而把 SOC作為事后處理的工具就可以規(guī)避日志來(lái)源可用性的問(wèn)題。通過(guò)收費(fèi)的策略定制服務(wù)，也可以規(guī)避關(guān)聯(lián)分析所帶來(lái)的問(wèn)題。而根據(jù)客戶(hù)部門(mén)的職能和組織架構(gòu)提出的針對(duì)性的SOC功能和二次開(kāi)發(fā)則可以明晰SOC的定位。

【小結(jié)】

總的說(shuō)來(lái)，要想用好SOC，不能把SOC只當(dāng)成一個(gè)和其他安全設(shè)備配套形成解決方案的產(chǎn)品來(lái)看。相比于配套解決方案，其實(shí)SOC其實(shí)更適合作為安全咨詢(xún)服務(wù)的后續(xù)工作來(lái)做。現(xiàn)在客戶(hù)往往分不清安全咨詢(xún)服務(wù)和風(fēng)險(xiǎn)評(píng)估服務(wù)的原因，其實(shí)就是兩者的輸出太接近了，都是一套類(lèi)似的解決方案。而有SOC作為基礎(chǔ)，安全咨詢(xún)?cè)诮鉀Q方案之外的很多東西就可以落地了。

【最后】

本文只是筆者自己對(duì)SOC大約一年左右的研究所得出的一些觀(guān)點(diǎn)，又是偶然受到激發(fā)寫(xiě)出來(lái)的，行文比較倉(cāng)促。總之，一家之言，說(shuō)得對(duì)不對(duì)請(qǐng)大家批評(píng)指正。

行文的最后發(fā)現(xiàn)本文犯了互聯(lián)網(wǎng)文章的兩大忌，一太長(zhǎng)，二沒(méi)有圖，不過(guò)也不改了，愿意看完的自會(huì)看完，不愿意看完的也就不強(qiáng)求了。

祝大家元旦快樂(lè)。

?

總結(jié)

以上是生活随笔為你收集整理的再转弯曲评论上的一篇关于SOC的文章的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。