返回
关于某soc地一点讨论

关于某soc地一点讨论

ID:28972030

大小:50.39 KB

页数:16页

时间:2018-12-15

关于某soc地一点讨论_第1页
关于某soc地一点讨论_第2页
关于某soc地一点讨论_第3页
关于某soc地一点讨论_第4页
关于某soc地一点讨论_第5页
资源描述:

《关于某soc地一点讨论》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用标准文案关于SOC的一点讨论【缘起】在飞熊的《面向法规与人本的新一代信息安全架构》中,willchen提到了SOC在方案中的核心地位。正好研究过一点这方面的问题,不好在别人的地盘跑题跑太远。在这里写一点个人的看法。【正文】一、现在的SOC是怎么做的现有市面上的SOC产品在功能上各有各的特点,但是总的说来,核心功能都是以统一收集日志(主要是syslog日志,也有SNMP拿到的信息,有些还能收集NetFlow/NetStream/S-Flow等日志)为基础,再将收集上来的日志加以标准化进行存储,再对这些

2、日志进行一些处理(如归并、根据策略进行关联等),再加以呈现(可以是实时呈现在屏幕上,也可以生成报表)。以上是SOC的核心功能,在此之外一般还会有工单管理功能,也即一条告警过来以后就形成工单,让管理员和各级主管可以跟踪一个安全事件的处理过程。相当于集成了一个OA系统。有些SOC还会集成一些工具,比如漏洞扫描工具或者集成IDS配套。事实上,很多SOC的原型都是厂家IDS的管理端,在IDS管理端上增加收集其他厂家其他类型产品的功能,再做关联分析而成。除了产品设计以外,现有SOC在实施过程中还有一个非常重要的工

3、作,就是做日志接口的开发。由于市面上的安全产品种类繁多,品牌繁杂,又没有统一的日志标准,比如天融信的防火墙,其不同版本的日志格式都不一样。故此任何产品都不可能兼容所有产品,那么在实施的时候,为了把客户现有的产品都纳入进来就必须进行接口的二次开发。否则必然会有一部分产品的日志收集不上来,或者收集上来以后识别不出。二、SOC目前的问题SOC在客户那里最大的问题就是用不起来,很多客户也觉得SOC说的很好,实际用起来完全不是那么回事。个人分析,主要问题有以下几个:·由于日志来源本身的可用性问题,导致SOC不适用

4、于安全的事前和事中处理。无论是IDS还是防病毒又或者IPS的日志,都存在误报和漏报的问题。对于误报,SOC其实没有很好的方法加以识别。没有可信的来源,在此基础上所给出的建议等也就成了无本之木。而另外一些可信的日志来源也存在问题,比如防火墙日志尽管可信,但是信息量太少,在出现问题后追查时倒是可用,但是用于事前判断攻击往往没什么意义。而IPS报出的高危日志(假设不是误报)往往都已经直接进行过阻断,没必要对其进一步处理。综上,由于日志来源的问题,SOC基本上不适用于安全的事前和事中处理。精彩文档实用标准文案·

5、受限于客户的技术水平和其他因素,导致关联分析很难用起来。SOC的一个故事就是通过关联分析发现攻击行为,分析攻击结果并定位攻击路径。但是关联分析的使用是有很多限制的。首先是要知道分析什么,或者说监视什么问题,否则都不知道该把哪些日志关联起来,这就决定了SOC的关联分析不可能处理未知问题。其次定制管理分析策略需要对整个系统的日志有着详细的了解,同一个问题在不同环境下关联分析的策略是不同的。举个例子,我们曾经给客户定制过发现ARP病毒的关联分析模板,其策略是利用Cisco交换机的MAC冲突日志,具体策略是当1

6、0s内冲突超过3次即认为网内有ARP病毒,但是如果当时客户有防病毒系统的话,直接引用防病毒系统的日志就OK了。分析环境定制关联策略是需要非常高的技术水平的,不要说客户的工程师,即使是厂家工程师,也不可能将所有设备的日志都研究清楚。因此,关联分析策略是需要有一定技术能力的工程师进行长期磨合和调整的,而受限于成本,厂家和客户都不可能长期搞这种事情。·对SOC系统本身的定位不清由于厂家的忽悠或者其他原因,客户经常会对SOC系统抱有过高的期望,这使得客户见到实际产品时往往很失望。这是对SOC的功能定位不清。另外

7、,如果SOC牵扯了工单管理,也即进入了客户的管理流程,这和客户的部门职能,甚至组织架构都是有关系的,这也使得这部分功能要不需要重新做二次开发,要么很难用起来。这是对SOC的应用定位不清。以上是我分析SOC目前使用不好的主要问题,前两条是主要的技术问题,其实技术问题还有很多,如NTP的问题等等,但是以上两条是我认为最主要的两条。而对SOC系统本身的定位不清则是使用的问题。三、技术的SOC和管理的SOCSOC在刚推出时,主要理论依据是“三分技术、七分管理”理论,认为SOC是技术和管理的结合点。而如前面分析,

8、SOC其实即没有解决技术问题,也没有解决管理问题,这其实就是SOC的定位问题。在定位方面,有技术的SOC和管理的SOC两种。SOC究竟应该是技术的?还是管理的?笔者认为厂家的SOC产品应该是技术的,客户的SOC系统应该是管理的。听起来有点和稀泥,但是却是最符合现实的。从厂家角度说,以及从客户对厂家提供的SOC产品的期望角度来说,SOC产品应该是技术的,主要提供的应该是对系统日志的统一收集管理,如果有可能则做一点安全设备的集中配置管理。也就是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。