新一代SOC与态势感知大会分享安全运营解决方案

今年的“新一代SOC和态势感知”大会，极牛网邀请了360企业安全、瀚思、安恒信息、深信服、新华三这5家在这一安全细分领域具备技术特点和丰富行业建设应用经验的安全厂商，介绍他们对SOC和态势感知的理解以及能力建设思路。核心内容记录如下：

1. 态势感知的前世、今生与未来

安恒信息资深解决方案架构师 李剑锋

态势感知的“前世”是应用于军事领域，美军在04年就指出“态势感知是对现状的知识和理解，可帮助友方、敌方的行动进行及时、精确的评估，并服务于跟高层决策的制定”。

今日，态势感知已经是网络安全的基本和基础性工作，是在实现安全态势“理解”和“预测”之前的重要阶段。对于多元、异构的安全数据，如何从中采集出足够且有效的安全要素，再通过关联分析和数据挖掘，获得当前网络局部或整体的安全态势信息，并利用历史数据和相关模型进行态势预测，是今日安全行业“态势感知”所需具有的重要能力。

网络技术应用日新月异，所衍生出的安全威胁，也在不断向技术手段更高级、获取更高价值数据的方向演进。大数据技术可以提供重要的安全分析能力，基于安恒在分析建模、异常行为关联分析等方面的突出能力，帮助企业实现可检测、可预警和可处置的态势感知能力。

未来，安全态势感知将定位在安全大数据中心，标准化和集中化的进行数据采集与存储，具备云平台的安全防护和监管能力，并聚焦更深度的态势分析，以及网络中全安全设备的通报和预警。

2. 大数据安全支持的新一代SOC

瀚思产品副总裁 周奕

边界、单点防御已近乎失效的今天，安全运营中心(SOC)的建设已成为大部分企业安全能力建设的重心。这包括安全预防、持续监测、快速响应、溯源取证和风险预警这五方面能力。

瀚思作为国内知名的大数据安全厂商，拥有22项核心安全专利。从下面这张产品体系图中不难看出，基于机器学习和人工智能这一核心能力的大数据平台，以及平台之上对于安全和威胁的理解所积累的专家规则，是瀚思的核心竞争力。

通过对企业内/外部数据的采集和分析，针对外部攻击、内部威胁和业务欺诈，实现主动、智能的防御，是瀚思认为新一代SOC的最终目标。

3. NGSOC和态势感知构建的新一代安全运营体系

360企业安全集团副总裁 韩永刚

数字化转型这一大背景下，IT基础设施正在发生变化，安全运营思路甚至是安全体系，也应重新构建。企业安全防御的重点，应从过去的被动的围墙式，过渡到主动、动态对抗的检测和响应上。企业应利用大数据、威胁情报、行为分析等技术，帮助组织对来自内/外部的安全威胁进行研判和溯源。

“数据驱动安全”一直是360网络安全的核心技术思想。背后，威胁情报和态势感知能力，以及协同防御体系的构建，是重要的能力支撑。

360认为，新一代SOC核心能力点在于对威胁的持续监测，包括分析、响应、对安全态势的评估，以及协同和预防。概括来讲，就是“技术”、“流程策略”和“人”。

在安全运营中，对“人”要特别关注。没有技术手段保障的运营机制，和没有人员参与运营的技术机制，都会失效。“数据驱动、产品协同”的技术机制，和“以人为核心”的运营机制，应达到协同。同时，在安全人才培养方面，企业要在兼顾培养成本的前提下，考虑企业安全能力所处不同阶段，对安全人才能力的不同需求，进行针对性培养。

4. 新形势下的安全感知方案和最佳实践

深信服安全感知产品总监 王金红

深信服认为，碎片化的安全体系现状和攻防的不对等，是目前传统防御体系存在的两个主要问题。因此，企业对能够使全网安全状态可视、并及时进行预警和响应的安全平台的需求，是非常迫切的。

特别在协同响应方面，深信服采用三级响应机制，包括通过下一代防火墙平台的网络侧的自动阻断，上网行为管理对用户/员工的提醒和在终端的扫描/查杀工具，以及帮助进行威胁分析和应急响应的专家服务。

总的来说，企业需要对自身IT资产和业务逻辑进行梳理，利用威胁情报进行实现威胁检测，并参考对攻击行为的分析，来评估用户网络的安全态势。

5. 态势感知在高校的落地实践

新华三集团安全产品线高级产品经理 田浩博

安全威胁多样、影响范围广、边界防护困难已经成为安全威胁的新常态。特别在教育行业，普遍存在安全技术和管理体系缺乏，运维机制脆弱等问题。

目前，高校安全治理的主要任务，在于封堵安全漏洞、治理网站乱象、规范安全管理、和补齐等保短板。为此，态势感知平台要能够实现风险和资产的可见、可知，和安全问题的快速处置。

基于在高校的落地实践，新华三认为态势感知平台的核心能力，应包括：基于安全大脑（由机器学习和专家系统构建）的威胁智能分析、“云-网-端”架构的协同响应、风险态势的主动多多维预测、以及业务风险等多维度的安全可视化呈现。

对应的技术点，包括能够对大范围样本数据进行分析和趋势预判的核心安全大脑，基于漏洞、URL、病毒、IP/Web等安全特征库在网络边界的深度报文检测、用户行文分析与审计、网络流量异常检测，和对内网主机、服务器和数据库的主动式漏扫。

要实现这些，也就意味着平台要具备完整的数据采集能力，智能的威胁分析能力，和强大的联动响应能力。