【IT168专稿】随着IT技术的不断发展,而衍生出来的全新安全威胁已经使得企业IT应对乏力。企业需要一种全局角度掌控分析安全问题的能力。在这样的趋势下,SOC已被公认为能帮企业解决这个困境的有效手段。近两年来,国内SOC市场发展混乱,产品种类繁多,而导致企业用户在SOC选型、部署上遇到了一些困难。为此,我们采访到了迈克菲安全技术专家胡江波先生,就企业用户SOC选型、市场趋势等问题给出参考意见。
▲迈克菲安全技术专家胡江波
国内SOC市场分析
胡江波谈到,目前国内的SOC市场主要面向的是大企业客户。不同行业的企业客户对产品的理解和需求也存在差异,而且对SOC也都有一定的定制化需求。这些因素促成了国内有非常多的SOC供应商,而且这些供应商大多只耕耘几个特定的行业或者客户。
SOC起源于国外,谈到产品形态,就必须提另外一个名词SIEM。国内厂商的产品多以SOC自居,而国外厂商则将产品定位为SIEM。胡江波介绍到,以目前在售的产品形态看,国内的SOC大约等于国外的SIEM加上网络运维中心NOC,这与国内外客户的IT运维环境有关。国外客户多是在NOC无法满足其安全需求时,引入SIEM产品,而国内客户在引入SOC产品时,在IT运维方面多是零基础,基本的NOC并没有建立。而国内某些厂商为了在竞争中引导客户,先以SIEM为核心构筑SOC,然后不断扩大SOC产品功能范围,先是加入网络管理,后又加入设备管理、策略管理、变更管理、基线管理、应用管理等原本属于IT运维管理范畴的功能。
胡江波分析到,虽然这类SOC加入了很多功能,但是这些功能并没有被充分实现,比如其核心的网络管理功能与专业的网管平台相比差异巨大,非核心的策略管理、应用管理等功能更是缺乏充分的验证和实现。最终国内SOC产品的核心价值还是其SIEM功能。
而针对国内环境的企业用户,怎样的产品才能算是一款优秀的SOC呢?胡江波总结了四个方面,一是产品使用和维护要非常简单,最好采用Out of Box的交付形式,在界面设计上应该保持逻辑的高度统一;二是产品要有高速的查询速度和数据库写入速度。传统的关系型事务型数据库无法满足高速查询和写入的需求,必须进行革新;三是产品的架构要非常容易扩展,既支持面向大型客户的分布式部署模式,也支持面向中小客户的Combo模式;最后产品既要支持与SOC出品商自有产品的垂直整合,也要支持与第三方厂商的横向整合,如此才能对事件信息进行丰富,提供动态上下文信息及情势感知信息。
分析SOC能为企业带来的好处,胡江波说,“不同企业的痛点不一样,所以SOC对企业的最大价值也很难一概而论。但是如果我们回归最原始的需求,企业无SOC,则企业看到的是零散的海量的孤立的海量事件,完全是一个无法触摸的黑盒。企业有了SOC,SOC会对事件自动分析,形成可视化的视图,并将企业关注的情报推送至管理员的面前,即将海量无生命的事件转化为可操作的信息。”
所以SOC对企业最原始最重要的价值是让企业获得了可操作的信息,让企业真正明白自己的IT环境发生了什么和正在发生什么。当企业获得这些信息时,企业在其他产生日志给SOC的设备(比如防火墙、入侵防御)上的投资才体现出价值。