17-08-C2-ZN 新一代 SOC 研究报告 技术指南 m o c . 5 版权声明 · 新一代 SOC 研究报告（以下简称为“报告”）为安全牛研究成果，版权为安全牛独家拥有，其性质是供 安全牛客户内部参考的资料，其数据和结论仅代表安全牛的观点。 b u · 报告仅限于安全牛客户内部使用。未经安全牛审核、确认及书面授权，购买报告的客户不得以任何方式， 在任何媒体上（包括互联网）公开引用本报告的观点和数据，不得以任何方式将报告的内容提供给其他单 位或个人。否则引起的一切法律后果由该客户自行承担，同时安全牛亦认为其行为侵犯了安全牛的著作权， h t i g 安全牛有权依法追究其法律责任。 · 报告中未注明来源的所有图片、表格及文字内容的版权归安全牛所有。有侵权行为的个人、法人或其它组织， 必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿。否则安全牛将依据中华人民共 和国《著作权法》、《计算机软件保护条例》等相关法律、法规追究其经济和法律责任。 · 本声明未涉及的问题参见国家有关法律法规，当本声明与国家法律法规冲突时，以国家法律法规为准。 免责声明 · 报告中部分图表在标注有数据来源的情况下，版权归属原数据所有公司。安全牛取得数据的途径来源于厂 商调研、用户调研、第三方购买、国家机构、公开资料。如不同意安全牛引用，请作者来电或来函联系， 我们协调给予处理 ( 或删除 )。 · 报告有偿提供给限定客户，应限于客户内部使用，仅供客户在开展相关工作过程中参考。如客户引用报告 内容进行对外使用，所产生的误解和诉讼由客户自行负责，安全牛不承担责任。 01 / 51 17-08-C2-ZN 前言 近几年，威胁和风险环境已经发生了巨大的变化，主动攻击行为与高级攻击技术（APT）的复杂性不断升 级。而随着云计算与大数据技术的发展，新一代的高级安全技术和防护策略也取得了快速发展，比如以风险或 杀伤链为基础的方法，大量利用了威胁情报和大数据分析技术。这就要求传统的安全运营中心（SOC）来适 应这些新的变化，企业需要认识到传统的以防护为核心的策略已经失效，企业资产可能已经被破坏。企业安全 体系必须切换到以监控和响应为核心，通过持续监测，及时响应来减轻和限制攻击造成的损失。 新一代安全运营中心（SOC）必须以数据和情报驱动，采用自适应安全架构来进行环境和态势感知，通 过自动化或半自动化工具、流程和策略来对抗新一代威胁。 m o c . 5 本报告描述了新一代 SOC 的基本要素，介绍了 SOC 的技术实现原理，探讨了 SOC 运营体系的能力建设、 重点和难点，以及在不同场景不同层面上，协助包括基础作业层、专业技术层和管理决策层用户等人员更好地 完成安全工作，并此基础上结合整体防御体系探讨了 SOC 的未来发展趋势。 本报告由安全牛顾问团队，通过调查国内在新一代 SOC 相关技术产品上做的较为突出的公司，并结合当 b u 前最新的相关资料撰写。 关键发现 h t i g 预计到 2020 年，以数据和情报驱动的新一代 SOC 为中心的市场占有率将从现在的 5% 提升到 50%； 新一代 SOC 将遵循大数据化、情报驱动、多维度化、智能化、交互化、可视化、协同化等理念进行建设； 新一代 SOC 将成为企业安全能力中心，具备安全防御、持续监测、快速响应、溯源取证、风险预警 等能力； 新一代 SOC 必须采用大数据平台架构，来提升数据的分析和处理能力； 新一代 SOC 应采用来自多个来源的战略级和战术级威胁情报； 新一代 SOC 应具备大数据安全分析能力，通过机器学习提升分析能力； 新一代 SOC 尽可能实现安全运营的自动化； 新一代 SOC 采用了自适应安全体系架构； 新一代 SOC 采用主动威胁溯源和调查技术； 新一代 SOC 可应用在微观运营、中观管理和宏观决策各个层面； 新一代 SOC 尚面临诸多的建设难点，如情报共享、团队建设、定制化等 02 /51 17-08-C2-ZN 目录 1. SOC 的定义 05 1.1. 传统 SOC 的问题 05 1.2. 新一代 SOC 的理念 06 m o c . 5 2. SOC 能力建设 07 2.1 安全防御 08 b u 2.2 持续监测 2.3 快速响应 2.4 溯源取证 2.5 风险预警 3. SOC 技术实现 g ti h 09 09 10 10 11 3.1 SOC 平台架构 11 3.2 数据采集建议 12 3.3 大数据处理平台 15 3.4 大数据安全分析 17 3.5 威胁情报共享 19 3.6 可视化展示与分析 20 3.7 自动化响应平台 21 3.8 SOC 运营体系 23 03 / 51 17-08-C2-ZN 4. SOC 应用场景 24 4.1 微观运营 24 4.2 中观管理 24 4.3 宏观决策 25 5. SOC 建设难点 25 m o c . 5 5.1 产品化还是定制化 25 5.2 大数据平台如何构建 26 5.3 运营团队如何建设 26 5.4 情报共享机制如何建立 6. SOC 关联技术 6.1 CMDB 配置管理 6.2 VM 漏洞管理 6.3 EDR 端点检测和响应 g b u ti h 26 27 27 27 27 6.4 IAM 身份与访问管理 28 6.5 UEBA 用户与实体行为分析 28 6.6 NTA 网络流量分析 28 6.7 Service Desk 服务台 28 6.8 GRC 风险与合规软件 29 7. SOC 未来趋势 29 7.1 从 SOC 到态势感知 30 7.2 机器学习与人工智能 30 7.3 安全与业务融合 04 /51 17-08-C2-ZN 1. SOC 的定义 传统安全运营中心（SOC）是指以信息资产为核心，通过针对网络、系统、应用、安全设备的日志和报 警事件进行监控和分析，建立一套实时的资产风险模型，以安全事件管理为核心流程，协助安全管理员进行事 件分析、风险分析、预警和应急响应处理的集中安全管理系统。 SOC 从名称来看： S->Security（安全），即 SOC 处理的事件或流程应该是与企业网络安全相关的； O->Operations（运营），代表着一种动态的动作，包括但不限于实时的检测和响应； m o c . 5 C->Center（中心），体系化的建设，多领域安全产品、服务“叠加”而成的综合防线。 传统的 SOC 主要采用安全信息和事件管理（SIEM）系统，为防火墙、入侵检测 / 保护系统、漏洞扫描 等安全设备提供设备管理和监控服务。然而，让员工手动分析成堆的数据，从孤立的事件和指标中寻找联系， b u 被证明是低效、不可持续且令人难以承受的，尤其是在数据量持续暴增，而合格的安全分析师严重不足的情况 下。另外，主动攻击行为与高级攻击技术（APT）的复杂性不断升级，攻击也越来越不可检测，由于缺乏更高 级的机制来连接不同的传感器和行为数据，就更加不可能检测出愈趋复杂的威胁。 h t i g 因此，新一代 SOC 建设必须以数据和威胁情报驱动，采用自适应安全架构来进行情景感知、行为感知和 态势感知，通过自动化或半自动化工具、流程和策略来对抗新兴威胁。SOC 建设不再仅仅是交付产品或系统， 更应当交付安全能力，通过数据采集、威胁情报、分析平台、响应工具、体系建设、人员能力培养等，打造企 业的新型网络安全运营中心。 1.1. 传统 SOC 的问题 众所周知，安全运营中心 (SOC) 在中国的落地一直不算成功。仅靠设备日志分析、告警事件、终端安全 等工具的堆砌，缺乏足够的知识和人才来运营，难以与 IT、业务、管理层和监管等部门进行有机的联动，远没 有达到成熟安全运营中心应具有的能力。 当前网络与信息安全领域，正面临着全新的挑战。一方面，伴随大数据和云计算时代的到来，安全问题正 在变成一个大数据问题，企业和组织的网络及信息系统每天都在产生大量的安全数据，并且产生的速度越来越 快。另一方面，国家、企业和组织所面对的网络空间安全形势严峻，需要应对的攻击和威胁变得日益复杂，这 些威胁具有隐蔽性强、潜伏期长、持续性强的特点。 面对这些新挑战，传统 SOC 的局限性显露无遗，主要体现在以下几个方面： 05 / 51 17-08-C2-ZN 缺乏安全攻防对抗的能力：传统 SOC 以安全日志和事件的采集为基础，被动进行事件分析和响应， 没有从威胁来源和攻击者视角来分析问题。从黑客攻击杀伤链来看，检测点和响应措施严重不足； 缺乏大量数据处理的能力：传统 SOC 以关系型数据库为底层数据架构，处理能力相当有限，在当前 海量数据、异构数据、多维数据的情况下，采集、分析、处理、存储遇到了很大的困难； 缺乏安全智能分析的能力：传统 SOC 以基于规则的关联分析为主，只能识别已知并且已描述的攻击， 难以识别复杂的攻击和未知的攻击。并且传统 SOC 缺乏内外部威胁情报的导入，难以满足当前的攻防对抗环境； m o c . 5 缺乏有效响应协同的能力：传统 SOC 缺乏响应协同的工具和流程，无法做到与网关设备、终端 EDR 等联动响应，以及与企业内外部资源共享威胁情报、协同处置安全威胁； 缺乏专业人员运营的能力：传统 SOC 重在安全管理系统的建设，缺少对安全运营人员的培养，而 b u SOC 要想真正发挥作用，安全分析和安全运营人员的专业性必须具备。 1.2. 新一代 SOC 的理念 h t i g 要想解决传统 SOC 的问题，安全牛提出新一代 SOC 建设必须遵循如下理念： 1、 大数据化：数据驱动是新一代 SOC 的基本属性，必须采用大数据平台架构为支撑，支持超大数据量 的采集、融合、存储、检索、分析、态势感知和可视化； 2、 情报驱动：新一代 SOC 的安全分析将非常依赖安全情报。借助安全情报，可以大大提升分析的效率。 安全情报分为战略层情报和战术层情报，从技术上可以分为基础数据情报、漏洞情报、威胁情报、重大事件情 报等； 3、 多维度化：新一代 SOC 支持多维数据源的采集，包括各类设备日志、原始流量、终端与用户行为等； 覆盖预警、防护、监测、响应各个环节，能够集成资产配置库（CMDB）、漏洞管理、配置核查、身份管理等 数据源，并引入外部威胁情报数据，进行积极的预警和防御； 4、智能化：新一代 SOC 需要建立起智能化的安全分析能力，通过对数据进行情境关联来丰富数据，建 立业务、资产、漏洞、威胁、身份、行