亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

新一代國產SOC的實用化建設

發布時間:2020-07-29 15:32:17 來源:網絡 閱讀:3179 作者:ricktang 欄目:安全技術


1      概述

信息安全免疫力低下是我國信息安全的基本現狀,因為我國對于安全威脅的檢測和處理方式仍然位于人工檢測+事后審計處理的階段。此種方式對比現今大數據的應用、APT***等技術手段,人工審查風險的方式已經相當落后,在國際上處于被動挨打的狀態。現今***產業化與APT***國際化已經成型,信息安全關乎國家安全,如果我們的命門掌握在他人之手,套路盡在別人掌控,這對于信息安全是極大的威脅。在此等形勢下,迫切需要發展本土智能化、高性能、高準確性的SOC體系“安全運營中心”來對抗上述風險。

SOC在國內的發展和應用相對落后,普遍被當成軟件產品來銷售,而SOC實用化還處于理論階段。現今國內絕大多數SOC都被當成SIEM日志集中收集和管理來用,而最為核心的關聯分析和風險監控(SOC安全代運維服務或稱之為可管理安全服務)還處于初級階段。此種畸形的狀況是由于國內體制、政策、應用環境、傳統認識、歐美對SOC技術的封鎖等原因的制約,才迫使國內的SOC一直得不到進步與發展。

現今建設一套智能化、高可用性的SOC系統,必需具備強大的SOC產品、實時準確的威脅情報以及專業的SOC安全代運維服務,具體內容如下。

  1. 1.   基于大數據技術高性能、關聯分析引擎強大的SOC產品;

  2. 2.   SOC安全威脅檢測模型

  3. 3.   來自外/內部的威脅情報;

  4. 4.   簡單易懂的風險展示平臺、智能告警平臺和強大的報告系統;

2     泰合計劃

在今年四月份啟明星辰對外正式發布了泰合安全威脅分析合作計劃,并宣布了包括可管理安全服務提供商-諾恒信息、威脅情報服務提供商-天際友盟和微步在線、安全威脅情報聯盟-烽火臺在內的首批合作伙伴,引領SOC安管平臺開放、連接、協同的發展大趨勢。

這一信號表明,國內的SOC已經從單一的賣產品,開始轉變成SOC產品+MSS服務+威脅情報的方式來實現SOC實用化的交付。這也證實了國內越來越多的SOC客戶對實用化的要求也大大提高。

3     SOC產品底層技術要求

一款優秀的SOC產品是實用化的基礎,它的能力直接關系到在SOC運維和使用過程中系統的穩定性、查詢分析所耗費的時間、智能威脅檢測的深度以及監控風險的準確性等問題。

                                                        新一代國產SOC的實用化建設

3.1  大數據查詢

面對現今越來越龐大的信息數據集合,傳統關系型數據庫早已不堪重負。做為SOC安全分析與審計的最為重要的工具-日志的查詢和分析,查詢的效率直接影響到安全分析人員的工作效率。

3.2  關聯分析引擎

關聯分析引擎是SOC的核心所在,如同×××的引擎一樣會直接影響×××手技術能力發揮,關聯分析引擎的效率和功能也直接決定了SOC對風險事件的檢測能力。

一款優秀的關聯分析引擎,除了要能夠在高強度的日志分析過程中,保證引擎自身運行的高速、實時和穩定。還要求了對邏輯條件編寫的靈活性,日志字段間數值的比對、計算與判斷,各類資產、過濾器、表單數據的引用和輸出等功能。

3.3   深度日志范式化

日志范式化工作是所有SOC廠商必做的一項工作,也是關系SOC日志可讀性和關聯分析的基礎所在。最為關鍵的內容涉及了定義***對象、***技術、風險性質、操作、結果等字段內容的補全。日志語義定義的準確、完整可以省去安全分析工程師在關聯分析和日志審計中的工作壓力。

但是此項工作也是日志范式化過程中難度最大也最為耗人、耗時的部分,需要投入大量的安全專家進行日志的研究,并根據相應的日志分類標準對SOC支持的所有設備的每一條日志,進行分類和審核。因此很多SOC廠商都刻意的避開此部分內容,或是使用比較粗的分類、機器學習等方式完成此工作。

4     安全威脅檢測模型

4.1  安全威脅檢測模型架構

安全威脅檢測模型是SOC關聯分析檢測的基礎框架,只有嚴格按照安全威脅檢測模型部署SOC,才能夠將SOC諸多核心功能關聯起來形成一個完整的系統。主要內容包括關聯引用以及層級結構,例如“用戶資產、檢測規則、動態威脅庫、過濾器、告警系統等”。

新一代國產SOC的實用化建設

4.2  威脅場景庫

威脅場景庫是編寫檢測規則的案例來源。它將現實客戶環境中遇到的***案例和***實驗實中研究的新型***成果,以文字的方式記錄并研究其特征和行為,并轉換成檢測規則用于現實環境。

威脅場景庫的實踐和積累直接影響檢測規則的數量與質量,決定了SOC實用化成果的優劣。

4.3  威脅情報的來源與使用

威脅情報在SOC實用化中可分為外部威脅情報與內部威脅情報。兩都同樣都可接入安全威脅檢測模型中被關聯分析引擎引用,能大幅度提升安全事件測試的精準度,減少誤報。

外部威脅情報來源于威脅情報服務提供商,優點是來源廣、信息面全,缺點對于客戶也同樣明顯,命中率太低。如需解決這一問題,需要使用極為精細的過濾機制,以***類別、資產、脆弱性、對象等內容進行定義,再分散到安全威脅檢測模型中用于檢測規則。

內部威脅情報主要來自于客戶的黑白名單與動態威脅庫。動態威脅庫可以對***事件的信息進行抽取,將這些關鍵信息加入數據表中進行更新與處理,并將這些***信息用于高級威脅檢測與事后審計和分析中。

5     SOC安全的展示與交付

SOC展示與技術支持是SOC運維中必不可少的一個環節。即使客戶的SOC建設實現了智能化,但是一旦涉及,資產的變更,新的安全***,安全策略的調整等方面。必不可少的需要可管理安全服務提供商的支持,安全是一個不斷更新和建設的過程,SOC安全運維也不例外。

新一代國產SOC的實用化建設

5.1  展示平臺

SOC是一套非常復雜的系統,即使是有一定安全分析經驗的工程師也需要數月到數年的時間學習,才能從會使用到精通。要大多數客戶學會使用并認可SOC,顯然不太現實。

為了更好的提高客戶對SOC的認可度,則需要一套基于SOC二次開發的展示平臺,將關聯分析后的結果更智能更簡單的展示給客戶,從而代替客戶的SOC定制化開發工作。展示結果應該以關聯事件為數據源,內容包括態勢感知、多維度多類型的風險趨勢統計、告警事件詳情與證據鏈等。

5.2  報告系統

SOC實用化成果得到認可后,客戶對報告的要求會隨之提升。報告的定制化和自動化包含面會涉及到客戶的各部門,甚至各崗位。此時SOC報告系統的定制化功能會直接關系到與客戶的粘稠度。

5.3  智能告警平臺

智能告警功能是SOC平臺的必要功能,原則上是能以多種方式通知客戶所監控到的風險警報,例如,郵件、微信、短信等。但是,如何控制好警報數量,將安全事件詳情、事件描述、建議等信息,分階段智能化的發送客戶,則是此項技術的難點。

5.4  知識庫

知識庫與威脅場景庫配套,是實現智能化展示平臺、定制化報告與智能告警的基礎。除此之外,配套的知識庫還能夠實現安全專家經驗的可復制性,即將安全專家分析處理同類風險的過程與方法輸入知識庫中,供初級安全分析員參考和使用。在安全運營中基于標準流程和SLA,實現快速響應和風險處理。

5.5  SOC安全代運維服務支持

歐美國家絕大多數的SOC運維,都是由專業的可管理安全服務提供商來做的。國外在SOC大范圍的運維使用中,可管理安全服務提供商研究和積累了大量的最佳實踐,并且相關的運維標準、實時響應機制、SLA等都是經過ISO認證。安全分析團隊的經驗、應急支持能力和實用化都已經非常成熟。

選擇一個具備豐富安全運維經驗的可管理安全服務提供商,是保障客戶SOC實用化成果和風險實時監控和響應的必要條件。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

海口市| 夏河县| 滦南县| 石家庄市| 边坝县| 福清市| 皋兰县| 广德县| 桑植县| 漳平市| 天峨县| 潮安县| 南岸区| 宁明县| 唐河县| 静海县| 镇安县| 新和县| 蓬安县| 岚皋县| 定边县| 华宁县| 宜宾县| 龙山县| 高青县| 安仁县| 辽宁省| 宁都县| 莆田市| 苗栗市| 同仁县| 潮安县| 栾城县| 宁明县| 吉林市| 宜宾县| 孝感市| 林西县| 耒阳市| 玛多县| 磴口县|