【IT168专稿】近几年来,随着企业安全产品部署的越来越多,从而导致了企业对于IT人才需求的数量和专业性不断增多;其次安全产品相对独立的部署难以实现对网络安全设备的统一监控和对应急响应的处理,同时企业也很难应对如今海量数据的集中分析处理和对整体安全威胁的预防和感知。
传统的信息安全系统已无法应对全新环境下的网络安全威胁,企业需要一个能在统一管理平台下进行全局角度分析安全问题的能力。需求的变化让这个市场变的火热,近两年来,众多国内外安全厂商都在大力推广自己的SOC产品,面对这些各类繁多的安全产品,企业用户应该如何选择?目前SOC安全管理平台在企业内的应用状况如何?为此,我们采访到了惠普企业安全产品部北亚区总经理姚翔。
相信关注SOC的人都知道,被HP收购的ArcSight是业界一款非常有名的SOC产品。当然,国内国外对于SOC的理解不同,ArcSight在国外更准确应该叫做SIEM产品。谈及国内SOC和国外SOC产品形态上的差异,姚翔谈到,国内SOC产品注重于缺省的侦测规则,而国外的SOC除了缺省的规则之外,更强调的是架构以及产品本身的弹性。
▲惠普企业安全产品部北亚区总经理姚翔
姚翔认为,一款优秀的SOC产品应该具备这些能力,首先,SOC产品需具备缺省的侦测规则,这个部分可以帮助初期导入产品的用户节省大量的人力与精力;其次产品的性能,由于海量的日志一旦进入SOC平台之后,SIEM需要能够快速地进行关联分析,并且产生相关的事件,因此产品的性能以及处理的日志量,会是SOC的另外一层考量;另外,产品的灵活度以及成熟度,国内用户的使用环境,往往具有不同的特性,因此产品的灵活度必须够高,可以在国内各种环境中适合使用。此外,产品的成熟度将会直接影响未来服务以及定制化的部分,成熟度高的产品,可以将案例管理、资产模型、网络模型、关联分析、仪表版、报表等整合在一个平台上,用户无须请厂商通过第三方软件另行开发相关画面,这可以大幅节省未来维运成本。
而目前,国内的SOC的市场依然在成长之中,这也是为什么目前还是有许多的企业持续在进行调研。然而大部分的用户并没有真正的SOC中心,有大部分的用户仅有SIEM产品。姚翔介绍到,惠普的SOC解决方案主要是利用业界顶尖的 SIEM 产品 ArcSight ,并且搭配 SOC实施团队发展而成,在 ArcSight 发展的早期,专注在日志关联分析,因此 ArcSight 具备有业界最优的关联分析引擎,之后, ArcSight 开始发展日志查询与归档解决方案,并且可以整合为单一解决方案给予用户。ArcSight是业界十年内唯一保持在Gartner第一象限的解决方案。
姚翔谈到,大部分的用户部署 SOC 最大价值在于早期发现威胁所在,并且通过流程来处理所产生的事件。就如同 APT 攻击在开始之前,可能仅是一个简单的病毒邮件或是垃圾邮件事件,若能够在早期提前侦测并且拦截威胁,则可以避免日后的大型安全事件的发生。