安全资讯:下一代安全运营中心——SOC 2.0

尽管大企业耗巨资用在技术上、花大量时间用在安全防御上,还是继续受到黑客的攻击和恶意软件的感染,情况之严重前所未有。很显然,传统的安全方法解决不了问题。

考虑到这个严峻的现实,许多安全专业人员及为他们服务的厂商已开始在看待解决IT安全问题的方法方面进行一些缓慢而根本性的变化。专家们表示,由于这些变化,将来大企业的安全部门,特别是安全运营中心(SOC)的工作方式可能与今天全然不同。

安全咨询公司Securosis的创始人Rich Mogull说:“SOC中的人员需要设法作出更快速、更合理的反应——他们需要设法提高工作效率,需要设法缩短开始遭到攻击与阻止或消除攻击之间的时间。”

为了获得这样的效率,企业可能需要在考虑安全的角度和花费时间的方式上作一些根本性转变。我们不妨看一看安全理念的一些变化,以及这些变化会给明天的SOC在将来的活动带来怎样的影响。

明天的SOC会花更多的时间用于安全分析,花更少的时间用于边界防御。

专家们表示,“防御企业边界”的传统理念渐渐过时了。由于用户变得移动性更强,而企业变得更相互依赖,某一家企业的“安全边界”正变得越来越难定义,想做到防御几乎是不可能的。

思科系统公司主席办公室高级副总裁兼首席执行官Don Proctor说:“2007年,估计全球有大约5亿个与网络连接的设备。到2010年,这个数字将猛增到350亿个——相当于地球上每个人有5个设备。我们无法通过全部在端点处给它们打补丁的办法来确保安全。我们不得不向边界道别。”

实际上,一些安全专业人员,甚至一些厂商在摈弃这个基本理念:边界是完全可以防御的。新的理念是:企业会受到危及,很可能已经受到了危及。

安全厂商NetWitness的首席执行官兼白宫前网络安全顾问Amit Yoran说:“目前,安全团队无法确信某个主机没有遭到危及——坏人已经潜入到你的环境里面。所有真正严重的威胁已经潜入在网络里面。”

尽管不是所有的安全专家都认同这种理念,但大多数一致认为,明天的安全团队用于分析日志和事件的时间肯定至少与目前用于建立边界防御机制的时间一样多。这意味着会更多地关注安全分析、调查取证和事件响应。

安全信息和事件管理(SIEM)工具开发商SenSage的首席执行官Joe Gottlieb说:“将来,SOC中的人会发现,他们会把更多的时间用于分析数据,而不是用于分析安全。他们会加大数据挖掘方面的工作量,以查明问题根源。他们会更加关注‘你遭到了黑客攻击。现在怎么办?’”

明天的SOC会花更多的时间用于确认新的未知威胁,花更少的时间用于将已知威胁列入黑名单。

连反病毒厂商现在都认同这个观点:围绕已知攻击的“特征”(signatures)构建安全防御机制的理念并不是什么有效的长久之计,而率先提出这个理念的正是反病毒厂商。

赛门铁克技术和响应部门的主管Gerry Egan最近发布该公司新的基于声誉的安全工具Ubiquity时说:“十年前,我们每周可以识别出需要列入黑名单的5到10个新病毒。而现在,我们每天识别出的新特征多达1万到5万个。原来基于特征的模式变得有点过时了。”

专家们表示,虽然基于特征的技术会继续是企业安全战略的一个部分,但明天的SOC的分析人员会将更多时间用于找出网络和系统行为方面可能表明有新攻击的变化。新兴技术有望改进检测零日威胁的能力,比如赛门铁克的Ubiquity、Dasient的Web Anti-Malware和FireEye的恶意软件防护系统,那是因为它们会竭力识别出行为和声誉方面的变化,而不是关注已知威胁。

Dasient公司的联合创始人兼首席技术官Neil Daswani说:“由于如今的恶意软件与日俱增、不断变化,如果你还是试图完全通过攻击的特征来加以防范,那么注定会失败。我们的观念必须由关注代码是什么样转变成代码干什么事。”

专家们表示,这意味着,下一代SOC的工作人员很可能会把比以往更多的时间用于分析恶意软件,甚至用于研究恶意软件。Mogull认为,明天的SOC需要根据恶意软件的特征,确定一系列独特的关联活动,从而实际上建立了专门针对特定威胁、风险和业务敏感性的一种威胁分析环境。

Mogull表示,下一代SOC还需要一种更合理的方法,以便迅速分析可能表明有新威胁的行为数据,并将其上报、列到安全团队的优先事项列表的首位。他表示,许多SOC会编写定制的脚本和用户接口,以便有助于使上报过程实现自动化,并加快分析和解决潜在安全问题的过程。

明天的SOC会花更少的时间用于聚合事件,花更多的时间用于进行主动监控和智能化关联安全数据。

多年来,SOC一直以安全信息和事件管理(SIEM)工具为主;这种工具可以收集网络上与安全有关的"事件"方面的信息,并将这些信息汇总到一个监控屏幕上。专家们表示,这种工具不会消失,但大多数专家、连SIEM系统厂商自己也都一致认为,下一代SOC中的安全监控必须变得比现在更智能化。

SIEM厂商SenSage的Gottlieb说:“目前的安全监控环境只能让你大致了解发生的情况。大多数监控技术不能接受来自任何数据源的数据。即便如此,日志和SIEM系统中仍有大量数据需要检查,因此很难把有用数据与干扰数据隔离开来。”

Mogull说,数据分析问题没有变得更容易处理。他说:“SIEM中有大量数据,但到头来它是日志层数据。将来需要能够进行网络层分析,甚至是数据包层分析,而单单一个系统不可能完成所有这些分析。”

下一代SOC会需要这种新技术:能将来自众多安全系统的数据关联起来,而且有助于一目了然地提供数据,让分析人员能够更迅速地寻遍大量安全信息,从中找出可能表明有威胁的那部分数据。实际上,SOC将来变得更明智的秘诀不是整合几个安全系统和应用软件,而是增强分析人员从许多不同的系统汇集相关数据,并关联起来查出威胁根源的能力。

思科的Proctor说:“真正需要的是让你可以了解网络活动和性能的事件关联功能,那样就能知道什么是‘正常’的。如果某台笔记本电脑以前从来不与外界联系,现在突然开始将数据发送到巴西,就需要能够明白它何时开始发送数据、发送了什么数据。”他表示,最终,这种关联功能甚至可以扩展到物理系统,那样SOC还能识别安全门和监视摄像头的使用模式。

据一些专家声称,另外,将来下一代SOC的工作人员会加强主动监控,减弱被动监控。专家们强调,虽然SIEM和事件关联工具有助于更迅速地查明威胁的根源,但它们还是无法阻止攻击的发生。

“我认为,实行被动监控、说我们已经遭到攻击的腔调是一种轻易认输的表现,而且有点奇怪,”RedSeal Systems公司的营销副总裁Steve Dauber说,这家公司生产的工具用来测试安全策略的漏洞,并衡量企业的安全状况。“如果你看一下来自Verizon公司最近的威胁调查报告的数据,会发现大多数威胁之所以会发生,是因为许多公司没有采取一些很简单的措施来确保系统安全。他们需要有更多的方法在威胁发生之前主动查明那些问题,而不是遭到攻击后再分析。”

安全配置管理工具厂商AlgoSec的联合创始人兼首席技术官Avishai Wool认同这番观点。他说:“我并不认同边界已死的说法。有许多方法可以更有效地预防攻击,但我们需要大大提高自动化程度,并且大大改进工具。人们无法配置虚拟专用网(VPN),现在有许多企业试图配置VPN。”

RedSeal公司和AlgoSec公司提供的工具都让企业能够更有效地评估防火墙及其他安全系统的配置,从而有助于查找安全漏洞,并根据企业安全策略来测试漏洞。这种主动分析和测试,加上传统的漏洞扫描,目的在于帮助公司在坏人钻漏洞空子之前,找出安全系统存在的漏洞。

Mogull认为,数据泄漏预防(DLP)等一些现有的工具也有助于找出可能泄漏的地方,预防敏感数据离开企业环境。他说:“DLP有时遭到安全人员的批评,原因是一些方法可以绕过它。但事实上,DLP对于过滤出站数据和识别复杂的顽固威胁大有帮助。许多坏人参与了威胁事件,但不是所有人都很狡猾。”

明天的SOC会花更多的时间用于跟安全服务提供商合作,花更少的时间用于自己单干。

几乎从各个方面来看,安全威胁的数量和复杂性都在迅猛增长。Dasient公司近日发布的数字显示,互联网上遭到恶意软件感染的网站超过120万个,比一年前多了两倍多。美国计算机行业协会(CompTIA)上周发布的统计数据表明,在过去的一年里,近三分之二的企业至少遭到过一次威胁。

不过,专门用于IT安全的人力和预算资源几乎根本未见增长。Gartner公司在今年6月发布的一项调查中声称,安全开支占IT总预算的比例从2009年的6%减少到了今年的5%。显然,明天的SOC别指望单单通过增添内部人员和技术,就能够应对威胁越来越多的环境。

专家们表示,由于这个原因,许多企业指望依靠安全服务,帮助自己处理一部分防御工作。RSA、思科和赛门铁克等主要安全厂商提供的软件即服务(SaaS)解决方案越来越受欢迎,而Immunet、FireEye和Invincea等规模较小的新兴公司则在围绕服务、而不是围绕软件来发展业务。

另一家服务提供商Dasient的Daswani说:“现在许多公司明白,部署客户端技术、不断打补丁的办法并非总是管用。我确信,所有合适的端点安全工具甚至到现在还没有出现在市面上。我们发现,从服务器端关注这些问题确实相当有效。”

IDC公司的研究表明,全球安全服务市场将从去年的323亿美元,增加到2010年的441亿美元。专家们表示,虽然使用其中许多服务的将是中小型企业,但大企业中的SOC也会考虑利用安全厂商收集而来的恶意软件及其他威胁方面的数据。

但专家们表示,这并不意味着SOC工作人员的专长会变得不大重要。实际上大多数专家一致认为,下一代的安全分析人员一定要比过去更精明——不但要了解当前的威胁,还要了解这些威胁可能会给特定的企业环境带来什么影响。

SenSage公司的Gottlieb开玩笑说:“业界希望给SOC配备廉价劳动力的想法落空了。安全工作不会变得更简单。将来的安全人员不但需要目前在防御的领域方面的专长,还要有联系上下文的专长,以便确定哪些组合的事件可能会带来威胁。除此之外,他们还需要有分析专长,以便能够查明威胁的根源以及如何阻止威胁。”