【IT168选型指南】随着网络安全环境的日益复杂,为了有效抵御各类安全威胁,企业安全产品部署的越来越多,进而导致了企业对于IT人才需求的数量和专业性不断增高;其次安全产品相对独立的部署难以实现对网络安全设备的统一监控和对应急响应的处理,同时企业也很难应对如今海量数据的集中分析处理和对整体安全威胁的预防和感知。
传统的信息安全系统已无法应对全新环境下的网络安全威胁,企业需要一个能在统一管理平台下进行全局角度分析安全问题的能力。需求的变化让整个市场变的火热,近两年来,众多国内外安全厂商都在大力推广自己的SOC产品,面对这些各类繁多的安全产品,企业用户应该如何选择?目前SOC安全管理平台在企业内的应用状况如何?接下来跟随我们的介绍一起来深入了解!
一、SOC的进化
虽然SOC进入中国已经有几年的时间,但很多企业对于SOC的认知却依然停留在初级阶段,很大一部分企业部署SOC平台的目的是为了应对等保的要求。因此,我们有必要在这里为大家先介绍SOC的进化史和其真正价值。
我们都知道SOC是一个外来词,源自于国外的NOC(网络运营中心),NOC强调的是对网络进行集中化、全方位的监控分析与响应,实现系统化的网络运维管理。随着信息安全问题的日益严峻,安全设备的部署越来越多,防火墙、UTM、IPS、IDS、防病毒、终端管理等等,但安全防御孤岛的形成很大程度上制约了企业对IT系统整体安全情况的把控,NOC在这方面的能力却显得捉襟见肘了。
SOC的出现为企业很好的解决了这些难题,从2000年开始,国内外安全厂商都陆续推出了SOC产品。首先我们来看业界给出的SOC定义:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。由此我们不难看出,SOC对于企业的真正价值不仅仅是简单的安全防护,它是从整体上、系统化的帮助企业具备了感知安全威胁的能力,在这里我们可以将其称为下一代安全。
在国外,SOC并非单纯的产品,而是一个复杂的系统工程,包括了产品、运维以及服务,在产品体现上是以SIEM来代表SOC产品。而在国内,SOC产品也称为安全管理平台,这是国内安全市场需求的使然,因此SOC进入中国后具有了很强的中国特色。
二、SOC市场概况
2013年5月7日,Gartner发布了SIEM魔力象限,从Gartner魔力象限中我们不难看出,IBM收购Q1Labs,HP收购ArcSight,McAfee收购NitroSecurity之后,已然成为SIEM领域的领导厂商。当然,受限于国内安全厂商的发展规模,国内安全厂商几乎没有进入Gartner魔力象限的,但这也并不能影响企业对于国内SOC产品的认可。
迈克菲安全技术专家胡江波在接受IT168网络安全频道采访时谈到,国内的SOC市场主要面向大企业客户,不同行业的企业客户对产品的理解和需求差异巨大,而且对SOC都有一定的定制化需求。这些因素促成了国内有非常多的SOC供应商,而且这些供应商大多只耕耘几个特定的行业或者客户。由此导致目前国内的SOC市场还是比较分散的,未能形成通吃所有行业的优势厂商。
惠普企业安全产品部北亚区总经理姚翔也认为,国内SOC市场依然在成长之中,这也是为什么目前还是有许多的企业持续在进行调研。然而大部分的用户并没有真正的 SOC 安全管理中心,仅仅是拥有了SIEM产品。
而启明星辰SOC资深产品经理叶蓬却认为,经过10多年的发展,国内的SOC市场已经趋于成熟。目前,国内企业用户的网络与信息安全建设已经有了一定规模和水平,随着近些年国内用户对网络与信息安全的日益重视,尤其是随着网络战、APT攻击等喧嚣尘上,用户已经迫切需要一个能够对全网安全进行统一监控、统一管理、统一维护的安全平台。
因此从全球角度来讲,国内SOC应用水平还处于成长阶段,但就国内企业具体需求而言,SOC市场却也在高速增长着。赛迪顾问在《2012—2013年中国信息安全产品市场研究年度报告》中也印证了这一点,2012年国内SOC市场规模达到了4.76亿元,比2011年增长了22.7%,而在今后三年内将保持20%以上的增长速度,并预测到2015年国内SOC市场将达到8.92亿的市场规模。
随着企业安全意识的提升,中小企业也会更多的成为SOC产品的积极使用者。专门为此类客户优化和定制的产品将不断推出,基于云的SOC解决方案也会成为一个热点。而大企业市场则是进入了一个SOC产品的更换期。经过一段时间的使用,大企业对SOC有了深入的认识,同时也更清楚的认识到自己的需求是原来SOC无法满足的。在自身需求和BDA的推动下,大企业开始更换SOC,这些变化会为SOC市场的创新者和领导者带来机遇。
三、SOC主流产品
从前面的介绍中我们也了解到,目前比较知名的国外SOC产品主要是IBM QRadar、HP-ArcSight、McAfee、EMC-RSA,国内SOC产品主要有启明星辰、东软、网神、天融信等。下面我们将对这些产品进行一一整理和介绍!
1、 IBM QRadar安全智能平台
IBM收购Q1Labs之后,将其SIEM产品称为QRadar安全智能平台。IBM Security QRadar SIEM通过整合一个网络分发的数千个设备端点和应用程序中的日志源事件数据,并在原始数据上执行直接标准化和关联活动,以区分实际威胁和错误判断。同时,还可以整合IBM Security X-Force Threat Intelligence,它提供了一个潜在恶意 IP 地址列表,包括恶意主机、垃圾邮件源和其他威胁。IBM Security QRadar SIEM 还可将系统漏洞与事件和网络数据相关联,帮助划分安全性事件的优先级。
官网地址:http://www-03.ibm.com/software/products/cn/zh/qradar-siem/
2、 HP-ArcSight
惠普 SOC 的解决方案主要是利用其收购的SIEM 产品 ArcSight,并搭配SOC实施团队发展而成。在ArcSight发展的早期,专注在日志关联分析,因此ArcSight具备有业界最优的关联分析引擎,之后,ArcSight开始发展日志查询与归档解决方案,并且可以整合为单一解决方案给予用户。ArcSight也是业界十年内唯一保持在Gartner第一象限的解决方案。
官网地址:http://www8.hp.com/cn/zh/software-solutions/software.html?compURI=1340541
3、 McAfee SIEM
迈克菲的SOC产品源自2011年10月于对极富创新的Nitro Security公司的收购。Nitro Security依靠自行开发的一款高速数据库,解决了困扰SOC界多年的分析速度问题。McAfee在比较了Nitro公司与其他公司的产品后,最终决定将Nitro公司收购。收购6个月后,即2012年4月,McAfee基于Nitro的产品推出了自有品牌的SOC(SIEM)产品。此产品与McAfee多个自有产品进行了深度整合,并集成了McAfee独有的云安全技术。由于创新性的技术与强大执行力,使得此产品迅速跻身Gartner领导者象限中的第一阵营。
官网地址:http://www.mcafee.com/cn/products/siem/index.aspx
4、 EMC- RSA Security Analytics
熟悉RSA产品的人应该知道enVision,但是RSA从今年开始决定停止开发这款产品,取而代之的是并购而来的NetWitness的产品,RSA将其命名为Security Analytics。这个产品的范围将大于SIEM,并被标记为BDA产品。RSA中国区技术顾问吴异刚表示,随着时代的发展,特别是今天我们面临到越来越多高级威胁,传统的解决方案往往面临缺乏可视性,数据收集不够全面,响应不够及时等等问题。安全问题在某种程度首先变成了一个大数据的问题。当然收集足够的数据只是建立SOC的第一步,我们更需要考虑怎样才能迅速的访问和分析数据,怎样和我们企业的资产、风险、合规、事件处理流程等等相关联。这也正是RSA今天推出SA(安全分析平台)和SMC(安全管理平台)的重要原因。
官网地址:http://www.emc.com/security/security-analytics/security-analytics.htm
5、 赛门铁克SIM
赛门铁克安全信息管理器(Symantec Security Information Manager)基于赛门铁克全球智能网络提供了安全智能和分析、威胁情报、安全事件的关联分析。赛门铁克认为,未来企业对于自身SOC平台的需求,从本质上看,越来越需要更加专业化的服务来应对这种复杂而严峻的安全威胁形势。大多数企业仅靠自身安全防护能力已经无法应对。因此,赛门铁克的SOC安全解决方案也正在走向服务化,通过更加专业的专家队伍,将全球化的安全智能情报(security intelligence)感知,服务于企业,而不仅仅是传统的基于企业内事件的集中收集,通过违规分析发现安全风险。
6、 启明星辰泰合信息安全运营中心系统TSOC
作为国内最早研发安全管理平台(SOC)的安全厂商,启明星辰泰合信息安全运营中心系统TSOC从2008年到2013年连续五年位居中国安全管理平台市场占有率第一。TSOC以IT资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台。值得一提的是,2011年启明星辰的安管平台的底层技术架构进行了一次重构,开发出了支撑下一代安全管理平台的Cupid(丘比特)架构。基于Cupid架构,启明星辰推出了下一代安全管理平台(NG-SOC),实现了面向业务的、智能的和主动的安全管理平台,将国内安全管理平台市场发展提升到了一个新的阶段。
官网地址:http://www.venustech.com.cn/SafeProductInfo/29/34.Html
7、 东软NetEye安全运维管理平台(SOC)
东软SOC产品从2005年开始研发,到现在为止已经经历了三代变革。第一代的SOC产品,只关注安全管理相关的数据,重点采集安全设备告警日志,数据分析较为单一。第二代的SOC产品融合了网络管理和安全管理,全方位采集所有IT基础设施的告警日志、配置数据、运行数据、性能数据等,针对这些数据进行综合分析,提升事件发现和事件定位的准确性。第三代的SOC产品真正的上升为平台产品,不仅仅关注技术视角应用,提供了管理和业务视角的展示与操作,让SOC平台在综合决策、安全管理、业务系统维护等多个方面都能发挥重要作用。
官网地址:http://neteye.neusoft.com/1557/
8、 网神SecFox安全管理系统
网神也是国内最早进行SOC产品研发的厂商之一,其SOC产品的发展经历了大致三个阶段:1、关注核心技术,潜心进行核心算法的研发,首先解决多类型的海量安全相关数据的采集、归一化、关联分析、存储备份及恢复的问题,为SOC平台的研发打下坚实的基础;2、完成SOC平台的开发,持续完善功能并不断提高产品的性能,根据应用场景的不同,陆续推出针对数据库、上网行为、管理员运维方面安全相关数据采集的产品,这些产品既可以作为独立的产品,也可以作为我们SOC平台的数据采集器,为我们的SOC方案提供了很好的支撑;3、从安全管理业务的角度考虑SOC平台,不断将安全管理的领域知识和业务流程集成到SOC平台中,使之同安全管理业务结合更紧密,同时,持续跟踪技术发展,不断使用新技术来提高系统的性能,以迎接大数据时代的到来。
官网地址:http://www.legendsec.com/newsec.php?up=3&cid=3
9、 天融信安全信息管理TopAnalyzer
TopAnalyzer 作为天融信SOC安全管理运营中心的技术运维平台,主要依据ISO/IEC 27000 信息安全标准,结合安全服务的非常好的实践,以资产管理为基础,以风险管理为核心,以事件管理为主线,通过深度数据挖掘、事件关联等技术,辅以有效的网络管理与监视、安全报警响应、工单处理等功能,对企业内部各类安全事件进行集中管理和智能分析,最终实现对企业全风险态势的统一监控分析和预警处理。
官网地址:http://www.topsec.com.cn/aqcp/aqgl/aqxxgltopanalyzer/index.htm
四、企业SOC选型建议
基于以上这些国内外优秀的SOC产品,企业用户要如何选择适合自己的产品呢?为此,我们专门走访了生产这些SOC产品的厂商,请他们的安全专家为大家提出专业的选型建议:
迈克菲安全技术专家胡江波认为,一款优秀的SOC产品应具备四个特性:简单、高速、扩展、集成。简单就是讲产品使用和维护要非常简单,最好采用Out of Box的交付形式,在界面设计上应该保持逻辑的高度统一;高速是说产品要有高速的查询速度和数据库写入速度;扩展是产品的架构要非常容易扩展,既支持面向大型客户的分布式部署模式,也支持面向中小客户的Combo模式;集成是产品既要支持与SOC出品商自有产品的垂直整合,也要支持与第三方厂商的横向整合,如此才能对事件信息进行丰富,提供动态上下文信息及情势感知信息。
胡江波建议,企业SOC选型要选择与企业规模与运维能力相适应的SOC产品,要从交付形态、维护成本、运维能力等方面全面考虑;二是要选择真正实现其产品设计目标的产品,所有SOC产品都有两个核心的设计目标,即时获得有意义的情报、拥有一个智能调查平台;三是要选择具有前瞻性的SOC产品,具体来讲应包含产品架构应满足BDA的需求、产品可与云信息进行整合、产品当有一批顶尖安全专家支撑。
惠普企业安全产品部北亚区总经理姚翔认为,企业要进行SOC选型,首先要考虑海量数据背景下应当仔细从架构上思考 SOC 的选型,也就是在未来各个组成元件能否横向扩充;其次是对于高性能的处理方式是否能从架构上处理,往往用户希望透过单一硬件将所有的功能集中在一台硬件上,但是当面临海量数据时,每秒数十万 EPS 的要求,不应该是一台机器进行处理;第三要选择长期优秀的产品,用户在选 SIEM 产品时,会对企业所有的安全产品进行日志集成,因此一个好的厂商应当可以不断创新,引进新的技术,如此一来方能协助客户进行长期的安全策略规划;最后还要考虑到服务以及经验,SOC 是 Security Operation Center, 事实上包含了流程,技术,以及人员等三者关系,一个好的厂商,应当具备有这三方面的能力,除了利用产品的技术之外,还要能够对用户的人员进行培训以及建议,并且搭配对的事件处理流程来提高事件处理的效率,这才是 SOC 的真正精华所在。
启明星辰公司安全管理平台(SOC)资深产品经理叶蓬谈到,其实还有比选型更重要的事情是安全管理平台的建设规划,而选型仅仅是整个建设规划的一个环节。只有先完成了建设规划,才有可能进入平台选型阶段。而根据建设规划,不一定非要去选择自建SOC,因此也就不一定非要去做SOC选型。用户也可能选择外包、委托建设等方式。因此,SOC选型与否应该取决于安全管理平台建设规划,不要将两者本末倒置。
东软安全运营业务部高级咨询师侯小东谈到,企业用户在选型SOC方案时,因为很多SOC产品是根据数据采集来源的Device数量来设置相关的授权,而不同的授权,会有不同的价格,因此需要用户充分了解信息化的网络规模。另外就是SOC产品的实施较为复杂,可能会涉及网络设备、安全设备、主机系统、数据库、中间件等众多IT基础实施,这就要求实施人员具有安全、网络、系统等多方面的技术与经验,因此最好选择同时具有安全集成和系统集成经验丰富的厂商。
天融信安全管理产品线总监熊毅认为,安全管理建设是分步建设、逐步完善的过程,目前市场上有不少厂商提供SOC相关的产品,其中就不乏有部分中小厂商提供的所谓SOC,其更多的是安全事件管理系统,这些厂商在建设能力上有限,而SOC的建设是一个体系化的过程,从方案到产品再到实施运维,需要具备完善的队伍与技术能力水平,这些能力往往是中小厂商无法提供的,其结果是把安全管理平台建设成了具有简单分析能力的安全事件管理系统,因此在选型SOC方案和产品时重点考虑到这几个方面:厂商建设能力、设备管理能力、大数据分析处理能力、行业标准的符合度。
RSA中国区技术顾问吴异刚也认为,企业在选择SOC时首先应该充分了解自身的状况,并确定一个合适的建设目标,实事求是的给出一个最适合自己现有状况的同时又有前瞻性的选择方向。因此这样的SOC方案必须先进性,灵活性和扩展性能够兼顾。
网神数据与安全管理事业部副总经理孙燕辉也总结到,企业SOC选型要不求大、不求全,根据现阶段的实际需求和未来可能的发展来合理选择产品,但产品本身一定要有比较好的扩展性和灵活部署的能力,能够根据用户业务的发展来进行不断的扩展来满足用户的要求。同时,SOC平台不同于一般的安全产品,产品的功能、性能只是衡量其作为安全工具优势的指标,但SOC平台能否部署成功,真正给用户带来价值,很大程度上取决于实施工作,因此,SOC厂商是否有经验丰富的实施团队至关重要,因此,在进行选型的时候,一方面要考虑产品本身的技术指标,另一方面也要考虑背后的实施和技术支持团队的专业能力。
在我们6月份进行的一次企业SOC应用状况调研数据显示,企业在使用SOC安全管理平台时遇到的主要问题排名前三的是(如下图):缺少专业的安全分析师,无法真正发现和排查安全问题;人手不足,缺少安全运维工程师;系统维护起来十分复杂。
在企业选型SOC时首要考虑的问题调研中,83%的企业用户对产品的稳定性、可靠性最为关注, 其次是SOC是否能解决企业面临的若干关键IT问题占到73%,排在第三的是对IT人员的需求占到73%,由此我们也可以看到,在整个SOC生命周期中人是最关键的因素。
综上所术,我们可以看出,SOC建设是一个系统化的工程,企业要想做好并用好SOC,前提是一定要先做好规划,还要考虑到海量数据背景下产品的可扩展性和简单化,最后最重要的是人才的重要性,这包括企业自身对IT人才的培养和企业选择的SOC厂商的IT人才水平的了解。
五、SOC未来趋势分析
云计算的出现不是IT产业的特例,SOC同样也不是信息安全产业的特例,它们都是整个IT业自然发展和演化的产物。侯小东分析到,SOC和云计算技术的充分融合,将成为未来信息安全产业发展的必然结果。通过基于云的SOC平台,来自城域网、互联网等四面八方的用户,将从关注SOC的部署和配置,转为SOC所带来的便利服务。这不仅可以为企业减少人力和物力上的安全投资,更符合了云计算所倡导的节能环保的主题。
姚翔也展望到,在目前海量数据以及APT等热门议题下,企业对SOC的关注会持续发酵,主要的原因是没有任何一个单一的产品能够解决云、海量数据、移动等的安全问题。而 SOC 则可以透过PDCA 方法,不断的改善安全事件处理的能力,因此SOC在未来将会更显得重要。