怎樣評估安全運營服務(wù)？

SOCaaS的定義是動態(tài)發(fā)展的，從提供基本的24小時網(wǎng)絡(luò)監(jiān)控，到全功能的威脅檢測與緩解，都包含在內(nèi)。這意味著每家供應(yīng)商都有自己可以被標注為SOCaaS或傳統(tǒng)MSSP的服務(wù)集。糾結(jié)于是SOCaaS還是MSSP會耗去很多不必要的時間。有時候這不過是每個首字母縮略詞的定義不同，有時候這只是個理解問題，有時候要歸結(jié)到具體的產(chǎn)品和服務(wù)上，還有時候跟供應(yīng)商的出身有關(guān)。

安全運營服務(wù)的應(yīng)用

智慧城市網(wǎng)絡(luò)安全威脅急需安全運營

數(shù)字中國作為國家戰(zhàn)略，離不開一個個智慧城市的建設(shè)。而智慧城市基礎(chǔ)是構(gòu)建的大數(shù)據(jù)中心，依賴電子政務(wù)基礎(chǔ)架構(gòu)進行數(shù)據(jù)共享交互。

隨著智慧城市快速發(fā)展其面臨的網(wǎng)絡(luò)安全威脅也日益復(fù)雜、多變：

1、持續(xù)性威脅常態(tài)化，我國面臨的攻擊威脅尤為嚴重；

2、針對工業(yè)控制系統(tǒng)的攻擊日益增多，多起重要工業(yè)控制系統(tǒng)安全事件應(yīng)引起重視；

3、大量聯(lián)網(wǎng)智能設(shè)備遭受惡意程序攻擊形成僵網(wǎng)絡(luò)，被用于發(fā)起大流量攻擊；

4、網(wǎng)站數(shù)據(jù)和個人信息泄露屢見不鮮，衍生災(zāi)害嚴重；

5、移動互聯(lián)網(wǎng)惡意程序趨利性更加明顯，移動互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟；

6、不合法的軟件嚴重威脅本地數(shù)據(jù)和智能設(shè)備安全。

上述威脅急需全天候、多方位地感知整個城市的網(wǎng)絡(luò)安全，實現(xiàn)對于整個城市網(wǎng)絡(luò)安全持續(xù)性監(jiān)測，對于城市網(wǎng)絡(luò)空間面臨的威脅進行實時的感知、應(yīng)對與處置。

安全運營服務(wù)——安全運營中心的網(wǎng)絡(luò)安全治理思路

安全運營不應(yīng)該僅僅強調(diào)技術(shù)，是產(chǎn)品和工具的組合，更應(yīng)該是一套強調(diào)以安全合規(guī)為前提，以業(yè)務(wù)風(fēng)險治理為核心，以“安全事件管理”為導(dǎo)向、“解決安全風(fēng)險”為訴求、“保障網(wǎng)絡(luò)安全”為目標的長效安全風(fēng)險治理解決方案。

以深度安全攻防研究，實現(xiàn)網(wǎng)絡(luò)安全被動治理到主動治理的轉(zhuǎn)變

傳統(tǒng)的網(wǎng)絡(luò)安全治理以“救火式”的安全運維方式開展，對網(wǎng)絡(luò)安全治理過于被動，無主動探索安全威脅和安全風(fēng)險的機制。因此安全運營需要解決傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險治理的被動局面，通過安全攻防對抗和深度安全攻防研究，以攻擊者的視角，看待網(wǎng)絡(luò)安全治理，轉(zhuǎn)被動安全防御為主動安全防護。

安全運營服務(wù)系統(tǒng)的組成

蜜罐系統(tǒng)

誘捕惡意攻擊行為，可先發(fā)制人，也可虛晃一招，擾亂攻擊者視線，拖延攻擊者攻擊時間甚至可獲取攻擊者攻擊手段，從而保護真實網(wǎng)絡(luò)。

全流量取證系統(tǒng)

基于網(wǎng)絡(luò)流量數(shù)據(jù)的存儲和檢索，提供相關(guān)網(wǎng)絡(luò)安全事件的事后審計能力，能完整真實的還原網(wǎng)絡(luò)安全事件的原始場景，滿足合規(guī)性和網(wǎng)絡(luò)安全事件分析的需求。

威脅分析系統(tǒng)

憑借自身的檢測優(yōu)勢，利用支持雙向匹配的特征檢測、支持多分析場景的流檢測和基于沙箱檢測技術(shù)的文件檢測，除發(fā)現(xiàn)一般攻擊以外，利用威脅分析能力，結(jié)合ATT&CK模型、威脅情報、資產(chǎn)管理等能力，還能夠針對有效分析場景和APT攻擊進行進一步分析與研判。

EDR終端檢測響應(yīng)系統(tǒng)

通過算法來分析系統(tǒng)上單個用戶終端的行為，允許它記住和連接他們的活動。數(shù)據(jù)會立即被過濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。

安全運營指揮平臺

配備運營中心分析人員，進行多方位統(tǒng)籌工作。聯(lián)動以上各個設(shè)備數(shù)據(jù)，進行下一步應(yīng)急響應(yīng)處置工作，實現(xiàn)威脅早發(fā)現(xiàn)、快阻斷、回溯全等功能。在特殊時期，通過數(shù)據(jù)可視化，可以直觀查看威脅情況，便于值守人員操作。