跟着收集安然环境的日趋复杂,为了有效抵抗各类安然威胁,企业安然产品摆设的愈来愈多,进而导致了企业对IT人才需求的数量和专业性不竭增高;其次安然产品相对自力的摆设难以实现对收集安然设备的统一监控和对应急响应的措置,同时企业也很难应对此刻海量数据的集中阐发措置和对整体安然威胁的预防和感知。
传统的信息安然系统已没法应对全新环境下的收集安然威胁,企业需要一个能在统一治理平台下进行全局角度阐发安然标题问题标能力。需求的改变让全部市场变的火热,近两年来,浩繁国表里安然厂商都在大年夜力奉行本身的SOC产品,面对这些各类繁多的安然产品,企业用户应当若何选择?今朝SOC安然治理平台在企业内的利用状况若何?接下来跟从我们的介绍一路来深进体味!
1、SOC的进化
当然SOC进进中国已有几年的时候,但良多企业对SOC的认知却仍然逗留在初级阶段,很大年夜一部门企业摆设SOC平台的目标是为了应对等保的要求。是以,我们有需要在这里为大年夜家先介绍SOC的进化史和其真正价值。
我们都知道SOC是一个外来词,源自于国外的NOC(收集运营中间),NOC夸大年夜的是对收集进行集中化、全方位的监控阐发与响应,实现系统化的收集运维治理。跟着信息安然标题问题标日趋严重,安然设备的摆设愈来愈多,防火墙、UTM、IPS、IDS、防病毒、终端治理等等,但安然防御孤岛的构成很大年夜程度上制约了企业对IT系统整体安然环境的把控,NOC在这方面的能力却显得顾此失彼了。
SOC的呈现为企业很好的解决了这些坚苦,从2000年开端,国表里安然厂商都陆续推出了SOC产品。起首我们来看业界给出的SOC定义:以资产为核心,以安然事务治理为关头流程,采取安然域划分的思惟,成立一套及时的资产风险模型,协助治理员进行事务阐发、风险阐发、预警治理和应急响应措置的集中安然治理系统。由此我们不难看出,SOC对企业的真正价值不但仅是简单的安然防护,它是从整体上、系统化的帮忙企业具有了感知安然威胁的能力,在这里我们可以将其称为下一代安然。
在国外,SOC并不是纯真的产品,而是一个复杂的系统工程,包含了产品、运维和办事,在产品表现上是以SIEM来代表SOC产品。而在国内,SOC产品也称为安然治理平台,这是国内安然市场需求的使然,是以SOC进进中国后具有了很强的中国特点。
2、SOC市场概况
2013年5月7日,Gartner发布了SIEM魔力象限,从Gartner魔力象限中我们不难看出,IBM收购Q1Labs,HP收购ArcSight,McAfee收购NitroSecurity以后,已然成为SIEM范畴的带领厂商。当然,受限于国内安然厂商的成长范围,国内安然厂商几近没有进进Gartner魔力象限的,但这也其实不克不及影响企业对国内SOC产品的承认。
迈克菲安然手艺专家胡江波在接管IT168收集安然频道采访时谈到,国内的SOC市场首要面向大年夜企业客户,不合行业的企业客户对产品的理解和需求差别巨大年夜,并且对SOC都有必然的定制化需求。这些身分促进了国内有很是多的SOC供给商,并且这些供给商大年夜多只耕耘几个特定的行业或客户。由此导致今朝国内的SOC市场仍是比较分离的,未能构成通吃所有行业的优势厂商。
惠普企业安然产品部北亚区总经理姚翔也觉得,国内SOC市场仍然在成长当中,这也是为甚么今朝仍是有良多的企业延续在进行调研。但是大年夜部门的用户并没有真实的 SOC 安然治理中间,仅仅是具有了SIEM产品。
而启明星斗SOC资深产品经理叶蓬却觉得,颠末10多年的成长,国内的SOC市场已趋于成熟。今朝,国内企业用户的收集与信息安然扶植已有了必然范围和程度,跟着近年国内用户对收集与信息安然的日趋正视,特别是跟着收集战、APT报复打击等喧哗尘上,用户已火急需要一个可以或许对全网安然进行统一监控、统一治理、统一保护的安然平台。
是以从全球角度来讲,国内SOC利用程度还处于成长阶段,但就国内企业具体需求而言,SOC市场却也在高速增加着。赛迪参谋在《2012—2013年中国信息安然产品市场研究年度陈述》中也印证了这一点,2012年国内SOC市场范围达到了4.76亿元,比2011年增加了22.7%,而在此后三年内将保持20%以上的增加速度,并猜想到2015年国内SOC市场将达到8.92亿的市场范围。
跟着企业安然意识的晋升,中小企业也会更多的成为SOC产品的积极利用者。专门为此类客户优化和定制的产品将不竭推出,基于云的SOC解决方案也会成为一个热点。而大年夜企业市场则是进进了一个SOC产品的改换期。颠末一段时候的利用,大年夜企业对SOC有了深进的熟谙,同时也更清晰的熟谙到本身的需求是本来SOC没法知足的。在本身需乞降BDA的鞭策下,大年夜企业开端改换SOC,这些改变会为SOC市场的立异者和带领者带来机缘。
3、SOC主流产品
畴前面的介绍中我们也体味到,今朝比较驰名的国外SOC产品主如果IBM QRadar、HP-ArcSight、McAfee、EMC-RSA,国内SOC产品首要有启明星斗、东软、网神、天融信等。下面我们将对这些产品进行一一清算和介绍!
1、 IBM QRadar安然智能平台
IBM收购Q1Labs以后,将其SIEM产品称为QRadar安然智能平台。IBM Security QRadar SIEM经由过程整合一个收集分发的数千个设备端点和利用法度中的日记源事务数据,并在原始数据上履行直接尺度化和联系关系勾当,以辨别实际威胁和弊端鉴定。同时,还可以整合IBM Security X-Force Threat Intelligence,它供给了一个暗藏歹意 IP 地址列表,包含歹意主机、垃圾邮件源和其他威胁。IBM Security QRadar SIEM 还可将系统缝隙与事务和收集数据相联系关系,帮忙划分安然性事务的优先级。
官网地址:http://www-03.ibm.com/software/products/cn/zh/qradar-siem/
2、 HP-ArcSight
惠普 SOC 的解决方案主如果操纵其收购的SIEM 产品 ArcSight,并搭配SOC实施团队成长而成。在ArcSight成长的初期,专注在日记联系关系阐发,是以ArcSight具有有业界最优的联系关系阐发引擎,以后,ArcSight开端成长日记查询与回档解决方案,并且可以整合为单一解决方案赐与用户。ArcSight也是业界十年内独一保持在Gartner第一象限的解决方案。
官网地址:http://www8.hp.com/cn/zh/software-solutions/software.html?compURI=1340541
3、 McAfee SIEM
迈克菲的SOC产品源自2011年10月于对极富立异的Nitro Security公司的收购。Nitro Security依托自行开辟的一款高速数据库,解决了困扰SOC界多年的阐发速度标题问题。McAfee在比较了Nitro公司与其他公司的产品后,最终决定将Nitro公司收购。收购6个月后,即2012年4月,McAfee基于Nitro的产品推出了自有品牌的SOC(SIEM)产品。此产品与McAfee多个自有产品进行了深度整合,并集成了McAfee独有的云安然手艺。因为立异性的手艺与强大年夜履行力,使得此产品敏捷跻身Gartner带领者象限中的第一阵营。
官网地址:http://www.mcafee.com/cn/products/siem/index.aspx
4、 EMC- RSA Security Analytics
熟谙RSA产品的人应当知道enVision,可是RSA从本年开端决定遏制开辟这款产品,取而代之的是并购而来的NetWitness的产品,RSA将其定名为Security Analytics。这个产品的范围将大年夜于SIEM,并被标识表记标帜为BDA产品。RSA中国区手艺参谋吴异刚暗示,跟着期间的成长,出格是今天我们面对到愈来愈多高级威胁,传统的解决方案常常面对贫乏可视性,数据汇集不敷周全,响应不敷及时等等标题问题。安然标题问题在某种程度起首变成了一个大年夜数据的标题问题。当然汇集足够的数据只是成立SOC的第一步,我们更需要考虑如何才能敏捷的拜候和阐发数据,如何和我们企业的资产、风险、合规、事务措置流程等等相联系关系。这也恰是RSA今天推出SA(安然阐发平台)和SMC(安然治理平台)的首要启事。
官网地址:http://www.emc.com/security/security-analytics/security-analytics.htm
5、 赛门铁克SIM
赛门铁克安然信息治理器(Symantec Security Information Manager)基于赛门铁克全球智能收集供给了安然智能和阐发、威胁谍报、安然事务的联系关系阐发。赛门铁克觉得,将来企业对本身SOC平台的需求,从本质上看,愈来愈需要加倍专业化的办事来应对这类复杂而严重的安然威胁情势。大年夜大都企业仅靠本身安然防护能力已没法应对。是以,赛门铁克的SOC安然解决方案也正在走向办事化,经由过程加倍专业的专家步队,将全球化的安然智能谍报(security intelligence)感知,办事于企业,而不但仅是传统的基于企业内事务的集中汇集,经由过程背规阐发发现安然风险。
6、 启明星斗泰合信息安然运营中间系统TSOC
作为国内最早研发安然治理平台(SOC)的安然厂商,启明星斗泰合信息安然运营中间系统TSOC从2008年到2013年持续五年位居中国安然治理平台市场据有率第一。TSOC以IT资产为根本,以营业信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度成立一套可怀抱的统一营业撑持平台。值得一提的是,2011年启明星斗的安管平台的底层手艺架构进行了一次重构,开辟出了撑持下一代安然治理平台的Cupid(丘比特)架构。基于Cupid架构,启明星斗推出了下一代安然治理平台(NG-SOC),实现了面向营业的、智能的和主动的安然治理平台,将国内安然治理平台市场成长晋升到了一个新的阶段。
官网地址:http://www.venustech.com.cn/SafeProductInfo/29/34.Html
7、 东软NetEye安然运维治理平台(SOC)
东软SOC产品从2005年开端研发,到此刻为止已经历了三代改变。第一代的SOC产品,只存眷安然治理相干的数据,重点汇集安然设备告警日记,数据阐发较为单一。第二代的SOC产品畅通领悟了收集治理和安然治理,全方位汇集所有IT根本举措措施的告警日记、建设数据、运行数据、机能数据等,针对这些数据进行综合阐发,晋升事务发现和事务定位的准确性。第三代的SOC产品真实的上升为平台产品,不但仅存眷手艺视角利用,供给了治理和营业视角的揭示与把持,让SOC平台在综合决定计划、安然治理、营业系统保护等多个方面都能阐扬首要感化。
官网地址:http://neteye.neusoft.com/1557/
8、 网神SecFox安然治理系统
网神也是国内最早进行SOC产品研发的厂商之一,其SOC产品的成长经历了大年夜致三个阶段:1、存眷核心手艺,潜心进行核默算法的研发,起首解决多类型的海量安然相干数据的汇集、回一化、联系关系阐发、存储蓄份及恢复的标题问题,为SOC平台的研发打下坚实的根本;2、完成SOC平台的开辟,延续完美功能其实不竭进步产品的机能,按照利用处景的不合,陆续推出针对数据库、上彀行动、治理员运维方面安然相干数据汇集的产品,这些产品既可以作为自力的产品,也能够作为我们SOC平台的数据汇集器,为我们的SOC方案供给了很好的撑持;3、从安然治理营业的角度考虑SOC平台,不竭将安然治理的范畴常识和营业流程集成到SOC平台中,使之同安然治理营业连络更慎密,同时,延续跟踪手艺成长,不竭利用新手艺来进步系统的机能,以迎接大年夜数据期间的到来。
官网地址:http://www.legendsec.com/newsec.php?up=3&cid=3
9、 天融信安然信息治理TopAnalyzer
TopAnalyzer 作为天融信SOC安然治理运营中间的手艺运维平台,首要根据ISO/IEC 27000 信息安然尺度,连络安然办事的最好实践,以资产治理为根本,以风险治理为核心,以事务治理为主线,经由过程深度数据发掘、事务联系关系等手艺,辅以有效的收集治理与监督、安然报警响应、工单措置等功能,对企业内部各类安然事务进行集中治理和智能阐发,最终实现对企业全风险态势的统一监控阐发和预警措置。
官网地址:http://www.topsec.com.cn/aqcp/aqgl/aqxxgltopanalyzer/index.htm
4、企业SOC选型建议
基于以上这些国表里优良的SOC产品,企业用户要若何选择合适本身的产品呢?为此,我们专门访问了出产这些SOC产品的厂商,请他们的安然专家为大年夜家提出专业的选型建议:
迈克菲安然手艺专家胡江波觉得,一款优良的SOC产品应具有四个特点:简单、高速、扩大、集成。简单就是讲产品利用和保护要很是简单,最好采取Out of Box的交付情势,在界面设计上应当保持逻辑的高度统一;高速是说产品要有高速的查询速度和数据库写进速度;扩大是产品的架构要很是等闲扩大,既撑持面向大年夜型客户的漫衍式摆设模式,也撑持面向中小客户的Combo模式;集成是产品既要撑持与SOC出品商自有产品的垂直整合,也要撑持与第三方厂商的横向整合,如斯才能对事务信息进行丰硕,供给动态上下文信息及情势感知信息。
胡江波建议,企业SOC选型要选择与企业范围与运维能力相适应的SOC产品,要从交付形态、保护成本、运维能力等方面周全考虑;二是要选择真正实现其产品设计方针的产品,所有SOC产品都有两个核心的设计方针,即时获得成心义的谍报、具有一个智能查询拜访平台;三是要选择具有前瞻性的SOC产品,具体来讲应包含产品架构应知足BDA的需求、产品可与云信息进行整合、产品当有一批顶尖安然专家撑持。
惠普企业安然产品部北亚区总经理姚翔觉得,企业要进行SOC选型,起首要考虑海量数据布景下该当细心从架构上思虑 SOC 的选型,也就是在将来各个构成元件可否横向扩充;其次是对高机能的措置编制是不是能从架构上措置,常常用户希看破过单一硬件将所有的功能集中在一台硬件上,可是当面对海量数据时,每秒数十万 EPS 的要求,不该该是一台机械进行措置;第三要选择持久优良的产品,用户在选 SIEM 产品时,会对企业所有的安然产品进行日记集成,是以一个好的厂商该当可以不竭立异,引进新的手艺,如斯一来方能协助客户进行持久的安然策略打算;最后还要考虑到办事和经验,SOC 是 Security Operation Center, 事实上包含了流程,手艺,和人员等三者关系,一个好的厂商,该当具有有这三方面的能力,除操纵产品的手艺以外,还要可以或许对用户的人员进行培训和建议,并且搭配对的事务措置流程来进步事务措置的效力,这才是 SOC 的真正精髓地点。
启明星斗公司安然治理平台(SOC)资深产品经理叶蓬谈到,其实还有比选型更首要的工作是安然治理平台的扶植打算,而选型仅仅是全部扶植打算的一个环节。只有先完成了扶植打算,才有可能进进平台选型阶段。而按照扶植打算,不必然非要往选择自建SOC,是以也就不必然非要往做SOC选型。用户也可能选择外包、拜托扶植等编制。是以,SOC选型与否应当取决于安然治理平台扶植打算,不要将二者本末倒置。
东软安然运营营业部高级咨询师侯小东谈到,企业用户在选型SOC方案时,因为良多SOC产品是按照数据汇集来历的Device数量来设置相干的授权,而不合的授权,会有不合的代价,是以需要用户充分体味信息化的收集范围。别的就是SOC产品的实施较为复杂,可能会触及收集设备、安然设备、主机系统、数据库、中间件等浩繁IT根本实施,这就要求实施人员具有安然、收集、系统等多方面的手艺与经验,是以最好选择同时具有安然集成和系统集成经验丰硕的厂商。
天融信安然治理产品线总监熊毅觉得,安然治理扶植是分步扶植、慢慢完美的过程,今朝市场上有良多厂商供给SOC相干的产品,此中就不乏有部门中小厂商供给的所谓SOC,其更多的是安然事务治理系统,这些厂商在扶植能力上有限,而SOC的扶植是一个别系化的过程,从方案到产品再到实施运维,需要具有完美的步队与手艺能力程度,这些能力常常是中小厂商没法供给的,其成果是把安然治理平台扶植成了具有简单阐发能力的安然事务治理系统,是以在选型SOC方案和产品时重点考虑到这几个方面:厂商扶植能力、设备治理能力、大年夜数据阐发措置能力、行业尺度的合适度。
RSA中国区手艺参谋吴异刚也觉得,企业在选择SOC时起首应当充分体味本身的状况,并肯定一个合适的扶植方针,脚结壮地的给出一个最合适本身现有状况的同时又有前瞻性的选择标的目标。是以如许的SOC方案必需进步前辈性,矫捷性和扩大性可以或许兼顾。
网神数据与安然治理事业部副总经理孙燕辉也总结到,企业SOC选型要不求大年夜、不求全,按照现阶段的实际需乞降将来可能的成长来合理选择产品,但产品本身必然要有比较好的扩大性和矫捷摆设的能力,可以或许按照用户营业的成长来进行不竭的扩大来知足用户的要求。同时,SOC平台不合于一般的安然产品,产品的功能、机能只是衡量其作为安然东西优势的指标,但SOC平台可否摆设成功,真正给用户带来价值,很大年夜程度上取决于实施工作,是以,SOC厂商是不是有经验丰硕的实施团队相当首要,是以,在进行选型的时辰,一方面要考虑产品本身的手艺指标,另外一方面也要考虑背后的实施和手艺撑持团队的专业能力。
在我们6月份进行的一次企业SOC利用状况调研数据显示,企业在利用SOC安然治理平台时碰着的首要标题问题排名前三的是(以下图):贫乏专业的安然阐发师,没法真正发现和排查安然标题问题;人手不足,贫乏安然运维工程师;系统保护起来十分复杂。
▲数据来历:IT168调研平台
在企业选型SOC时首要考虑的标题问题调研中,83%的企业用户对产品的不变性、靠得住性最为存眷, 其次是SOC是不是能解决企业面对的若干关头IT标题问题占到73%,排在第三的是对IT人员的需求占到73%,由此我们也能够看到,在全部SOC生命周期中人是最关头的身分。
5、SOC将来趋势阐发
云计较的呈现不是IT财产的特例,SOC一样也不是信息安然财产的特例,它们都是全部IT业天然成长和演变的产品。侯小东阐发到,SOC和云计较手艺的充分畅通领悟,将成为将来信息安然财产成长的必定成果。经由过程基于云的SOC平台,来自城域网、互联网等四面八方的用户,将从存眷SOC的摆设和建设,转为SOC所带来的便当办事。这不但可觉得企业削减人力和物力上的安然投资,更合适了云计较所倡导的节能环保的主题。
姚翔也展看到,在今朝海量数据和APT等热点议题下,企业对SOC的存眷会延续发酵,首要的启事是没有任何一个单一的产品可以或许解决云、海量数据、移动等的安然标题问题。而 SOC 则可以透过PDCA 编制,不竭的改良安然事务措置的能力,是以SOC在将来将会更显得首要。