摘要: -----作者:honylau [ 2013-01-15 12:10 ]谈谈SOC建设的经验----- 笔者做了几年的SOC项目实施,先后在甲方和乙方服务过,谈一些SOC建设经验,不对的地方请多多指教: 1.who am I ? -- SOC的定位 大多数时候...
-----作者:honylau [ 2013-01-15 12:10 ]谈谈SOC建设的经验-----
笔者做了几年的SOC项目实施,先后在甲方和乙方服务过,谈一些SOC建设经验,不对的地方请多多指教:
1.who am I ? -- SOC的定位
大多数时候对安全风险的判断逻辑应放在前端安全设备上,比如IPS/防火墙/防病毒软件等,而SOC则侧重于数据挖掘。举个例子:一个机器感染了蠕虫病毒是防病毒软件能发现的,而某种病毒在5分钟内感染了很多台机器,则是SOC要能够发现的。
2.巧妇难为无米之炊 -- 日志源很重要
没有数据,分析工作就无从开展。在SOC项目实施过程中,最痛苦的莫过于需要花费大量人力、物力去采集各种日志,面对不同的日志源(DB/文件/syslog),采集方法也不一,而且采集进来的数据,都必须经过正规化处理才能便于后续的规则开发,现在都流行用EPS(每秒事件数)来衡量SOC平台的数据接入能力。
3.青菜萝卜,各有所好 -- 规则开发
安全受企业文化和行业性质影响很大,当数据接入进来后,需求往往会很不一样。金融行业侧重于防内,军工行业侧重于保密,互联网行业侧重于防外。而对于报警规则开发,无论是商用方案、开源方案还是自研方案,都必须考虑通用的报警规则架构设计,好的SOC平台不是在解决需求,而是预见到需求。(这点个人认为 arcsight 做得很好)
4.你有五毛,我也有五毛,所以我们能凑成一块 -- 数据分析
单个事件往往不足以说明安全风险的存在,这就需要一些关联分析技术来减少SOC的误报率。举个例子:如果一台PC访问了恶意站点,不足以说明这台机器中招了,但是这台PC过后又命中恶意文件下载行为,这就要引起管理员足够多的重视。
5.流水不腐户枢不蠹 -- 安全需要动态运营
老生常谈的问题,SOC有点像互联网产品,做得好坏要看团队的运营能力,安全逻辑要不断被优化,黑白名单需要不断被更新丰富,数据分析方法要不断被推进,应急响应要逐步流程化。
6.白魔法师的宿命 -- 团队的力量
为何攻击总是难以防范,霍格沃茨的魔法师们集合所有人的力量才能把魔法护罩建好,而伏地魔只需集中力量攻击一个点就能将其土崩瓦解,敌人总是在攻击点的问题,而我们总是要考虑面的问题。成熟的团队建设至少会进一步细分成安全运维和安全运营,一个管可用性和安全逻辑,一个关注数据分析和告警逻辑。
7.APT攻击防范 -- 敏感度与执行力
很多人认为SOC可以防范APT,笔者认为这得看是什么团队在做SOC,不以运营为目的SOC建设都是在耍流氓,有时发现APT攻击的往往不是那堆牛逼哄哄的设备,而是由一个普通告警,并进行电话回访内部用户开始。
欢迎对SOC感兴趣的朋友一起交流,QQ:5386499
-----作者:老李飞刀 [ 2013-01-15 16:00 ]Re: 谈谈SOC建设的经验-----
写得太多,还不够精P,我来总结吧:
一,SOC的能力
1.SOC的能力一:数据收集能力,这个要尽力,但也受客观条件限制;尽力就好;看厂商
2.SOC的能力二:数据挖掘能力,这个就考SOC设计者的经验和智商了,各施各法;看厂商
3.SOC的能力三:使用者的能力,这个就看使用者经验和智商了,你懂的;用户经验不足的话只能发挥SOC的最低效能;
二,SOC有没用?
1.设计得好,用得好的话,有点用;前提你得有闲钱和闲情玩这个;
2.设计得不好,或用得不好的话,没吊用。(比如楼主举的例子,大多数的防病毒系统和IPS本身就预置或可定制预警规则,SOC的最大用处无非把这些预警或消息合并到一处再出个报表罢了)
3.什么复杂的、智能的关联性分析?可以有一点,但你觉得你可以期望很高吗?黑黑
-----作者:gg729 [ 2013-03-04 16:54 ]Re: 谈谈SOC建设的经验-----
关键在于设计者必须脚踏实地,做些有用的事情。
例如:提出统一管理所有的安全设备的目标,实际情况是很难做到,那么先做到统一管理所有的防火墙,先做到收集分析策略,几年后再做到统一下发策略。之后逐渐扩展到IDS等设备。
关联分析,从10年前到现在都还是概念,分析这块是否要用专用系统来做,或者系统根本就不要,用人工分析的方式,外包出去成为服务。
-----作者:网路游侠 [ 2013-03-04 22:49 ]Re: 谈谈SOC建设的经验-----
最大的悲剧就是:
吆喝了这么多年的智能、关联……到现在还基本上是日志管理
SOC是个好的实现目标,但现在基本是忽悠为主,实用为辅。
-----作者:gg729 [ 2013-03-05 15:59 ]Re: 谈谈SOC建设的经验-----
确实不很好做,不过我们已经开始在路上了
防火墙已经统一接入,IDS、WAF、web漏扫,至少都有一定的控制能力
SOC的日志也收集起来,流程化也搭了一个架子
少些空谈,多些实干,才是推动soc的一个方向
转载自华安论坛,原文请点 这里 查看
顺带广告:网路游侠的新浪微博 http://weibo.com/55984512
