怎樣評(píng)估安全運(yùn)營(yíng)服務(wù)？

SOCaaS的定義是動(dòng)態(tài)發(fā)展的，從提供基本的24小時(shí)網(wǎng)絡(luò)監(jiān)控，到全功能的威脅檢測(cè)與緩解，都包含在內(nèi)。這意味著每家供應(yīng)商都有自己可以被標(biāo)注為SOCaaS或傳統(tǒng)MSSP的服務(wù)集。糾結(jié)于是SOCaaS還是MSSP會(huì)耗去很多不必要的時(shí)間。有時(shí)候這不過(guò)是每個(gè)首字母縮略詞的定義不同，有時(shí)候這只是個(gè)理解問(wèn)題，有時(shí)候要?dú)w結(jié)到具體的產(chǎn)品和服務(wù)上，還有時(shí)候跟供應(yīng)商的出身有關(guān)。

安全運(yùn)營(yíng)服務(wù)的應(yīng)用

智慧城市網(wǎng)絡(luò)安全威脅急需安全運(yùn)營(yíng)

數(shù)字中國(guó)作為國(guó)家戰(zhàn)略，離不開(kāi)一個(gè)個(gè)智慧城市的建設(shè)。而智慧城市基礎(chǔ)是構(gòu)建的大數(shù)據(jù)中心，依賴(lài)電子政務(wù)基礎(chǔ)架構(gòu)進(jìn)行數(shù)據(jù)共享交互。

隨著智慧城市快速發(fā)展其面臨的網(wǎng)絡(luò)安全威脅也日益復(fù)雜、多變：

1、持續(xù)性威脅常態(tài)化，我國(guó)面臨的攻擊威脅尤為嚴(yán)重；

2、針對(duì)工業(yè)控制系統(tǒng)的攻擊日益增多，多起重要工業(yè)控制系統(tǒng)安全事件應(yīng)引起重視；

3、大量聯(lián)網(wǎng)智能設(shè)備遭受惡意程序攻擊形成僵網(wǎng)絡(luò)，被用于發(fā)起大流量攻擊；

4、網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露屢見(jiàn)不鮮，衍生災(zāi)害嚴(yán)重；

5、移動(dòng)互聯(lián)網(wǎng)惡意程序趨利性更加明顯，移動(dòng)互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟；

6、不合法的軟件嚴(yán)重威脅本地?cái)?shù)據(jù)和智能設(shè)備安全。

上述威脅急需全天候、多方位地感知整個(gè)城市的網(wǎng)絡(luò)安全，實(shí)現(xiàn)對(duì)于整個(gè)城市網(wǎng)絡(luò)安全持續(xù)性監(jiān)測(cè)，對(duì)于城市網(wǎng)絡(luò)空間面臨的威脅進(jìn)行實(shí)時(shí)的感知、應(yīng)對(duì)與處置。

安全運(yùn)營(yíng)服務(wù)——安全運(yùn)營(yíng)中心的網(wǎng)絡(luò)安全治理思路

安全運(yùn)營(yíng)不應(yīng)該僅僅強(qiáng)調(diào)技術(shù)，是產(chǎn)品和工具的組合，更應(yīng)該是一套強(qiáng)調(diào)以安全合規(guī)為前提，以業(yè)務(wù)風(fēng)險(xiǎn)治理為核心，以“安全事件管理”為導(dǎo)向、“解決安全風(fēng)險(xiǎn)”為訴求、“保障網(wǎng)絡(luò)安全”為目標(biāo)的長(zhǎng)效安全風(fēng)險(xiǎn)治理解決方案。

以深度安全攻防研究，實(shí)現(xiàn)網(wǎng)絡(luò)安全被動(dòng)治理到主動(dòng)治理的轉(zhuǎn)變

傳統(tǒng)的網(wǎng)絡(luò)安全治理以“救火式”的安全運(yùn)維方式開(kāi)展，對(duì)網(wǎng)絡(luò)安全治理過(guò)于被動(dòng)，無(wú)主動(dòng)探索安全威脅和安全風(fēng)險(xiǎn)的機(jī)制。因此安全運(yùn)營(yíng)需要解決傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理的被動(dòng)局面，通過(guò)安全攻防對(duì)抗和深度安全攻防研究，以攻擊者的視角，看待網(wǎng)絡(luò)安全治理，轉(zhuǎn)被動(dòng)安全防御為主動(dòng)安全防護(hù)。

安全運(yùn)營(yíng)服務(wù)系統(tǒng)的組成

蜜罐系統(tǒng)

誘捕惡意攻擊行為，可先發(fā)制人，也可虛晃一招，擾亂攻擊者視線(xiàn)，拖延攻擊者攻擊時(shí)間甚至可獲取攻擊者攻擊手段，從而保護(hù)真實(shí)網(wǎng)絡(luò)。

全流量取證系統(tǒng)

基于網(wǎng)絡(luò)流量數(shù)據(jù)的存儲(chǔ)和檢索，提供相關(guān)網(wǎng)絡(luò)安全事件的事后審計(jì)能力，能完整真實(shí)的還原網(wǎng)絡(luò)安全事件的原始場(chǎng)景，滿(mǎn)足合規(guī)性和網(wǎng)絡(luò)安全事件分析的需求。

威脅分析系統(tǒng)

憑借自身的檢測(cè)優(yōu)勢(shì)，利用支持雙向匹配的特征檢測(cè)、支持多分析場(chǎng)景的流檢測(cè)和基于沙箱檢測(cè)技術(shù)的文件檢測(cè)，除發(fā)現(xiàn)一般攻擊以外，利用威脅分析能力，結(jié)合ATT&CK模型、威脅情報(bào)、資產(chǎn)管理等能力，還能夠針對(duì)有效分析場(chǎng)景和APT攻擊進(jìn)行進(jìn)一步分析與研判。

EDR終端檢測(cè)響應(yīng)系統(tǒng)

通過(guò)算法來(lái)分析系統(tǒng)上單個(gè)用戶(hù)終端的行為，允許它記住和連接他們的活動(dòng)。數(shù)據(jù)會(huì)立即被過(guò)濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。

安全運(yùn)營(yíng)指揮平臺(tái)

配備運(yùn)營(yíng)中心分析人員，進(jìn)行多方位統(tǒng)籌工作。聯(lián)動(dòng)以上各個(gè)設(shè)備數(shù)據(jù)，進(jìn)行下一步應(yīng)急響應(yīng)處置工作，實(shí)現(xiàn)威脅早發(fā)現(xiàn)、快阻斷、回溯全等功能。在特殊時(shí)期，通過(guò)數(shù)據(jù)可視化，可以直觀查看威脅情況，便于值守人員操作。