/ 中存储网

360态势感知及安全运营平台:为传统SOC赋予大数据能力

2016-10-04 14:40:57 来源:ZDNet

SOC(安全运营中心)在企业安全市场并不是一个新面孔,十几年前,它便在国内外市场中出现,目的是解决越来越多安全产品部署在网络中形成的“安全防御孤岛”问题。许多国内外厂商推出了SOC这一产品,甚至它已经成为了安全厂商推向市场的“标配”。

近日,360也宣布进入了SOC阵营,不过,它为SOC加入了新的元素——“大数据分析、威胁情报、安全协同”,360企业安全集团称之为新一代态势感知及安全运营平台,即NGSOC。

虽然,SOC已经存在了很多年,但并非不存在问题,在360网神董事长兼CEO齐向东看来,“一个非常传统的SOC告警,却让运维人员疲于奔命。本来发挥协调指挥作用的一个枢纽,因为频繁误报,被国内网络安全系统的运维人员吐槽说基本上没有几个能用的。”

360认为,现有安全运营平台缺乏海量大数据存储分析和处理的能力,无法对信息进行分析和挖掘,而导致不能发现真正的异常网络行为,对威胁和攻击的响应也谈不上及时。

360既然称其为NGSOC,那么“下一代”的特性又体现在哪里,又如何解决目前安全运营平台的弊端?

360态势感知及安全运营平台:为传统SOC赋予大数据能力

新一代态势感知及安全运营平台架构

360做什么样的下一代SOC

360将互联网大数据分析平台用在SOC产品中,在新的态势感知与安全运营平台上,能够实现海量数据的存储,并做到实时挖掘和分析,让企业安全设备海量日志存储不再是问题。

利用大数据技术,360 NGSOC实现对本地全量数据的采集和存储,以及安全数据分析和威胁溯源。360企业安全集团副总裁韩永刚表示,“我们不断将终端侧、网络侧,以及应用层、系统层,甚至人的层面的数据汇总起来,给传统检测和防御体系赋予新的大脑,转变成一个由数据驱动,纵深防御的体系。”

360态势感知及安全运营平台:为传统SOC赋予大数据能力

NGSOC:全量数据收集、存储和检索

360企业安全集团总裁吴云坤说,“我们的竞争点不在于软件和盒子,而是采集的数据发挥了作用。”

此外,360的海量互联网威胁情报数据则保证了产品发现未知威胁的能力。据介绍,360构建了国内第一个安全情报平台——360威胁情报中心,每天从900万个新增样本、300万新增域名、上亿恶意URL,以及结合多方社区、组织、第三方报告等资源,进行情报搜集和挖掘,每天形成超过百份的威胁及漏洞情报,通过在线或离线方式推送到客户侧的产品、服务、平台,以及与第三方安全组织进行情报交换共享。

在提出数据驱动安全理念后,360又提出了协同联动的理念,360 NGSOC是实现这一理念的枢纽,2016年360先后发布了新一代的威胁感知系统(360天眼)、新一代的终端安全系统(360天擎)、新一代智慧防火墙(360天堤),这种情况下缺一个枢纽,将数据进行汇总分析协同响应,贯穿监测与防护整个体系,来达到智慧安全的协同,这就是360态势感知与安全运营平台的价值。

360认为,相比依靠单一企业数据的传统安全运营平台,大数据分析是安全可见的基础,威胁情报成为衔接云端大数据与本地大数据的纽带,而协同联动才能构建与打造新的检测与纵深防御体系。

360态势感知及安全运营平台:为传统SOC赋予大数据能力

360 NGSOC对比传统SOC

态势感知,做看得见的安全

细心的人可以发现,360的NGSOC不是简单地叫下一代SOC,而是态势感知与安全运营平台。态势感知又是如何体现的?

360要做看得见的安全,态势感知和安全运营可视化分析技术,将企业内外部安全态势进行直观的呈现。在一个平台上既可以感知到企业外网,外部世界的安全态势,同时又能够可视化直观展示企业内部所面临的安全态势。对于安全运维人员,以资产和人为视角出发的安全管理,丰富的安全运维与服务工具,也会帮助提升日常的安全管理运维效率。

韩永刚指出,360态势感知与安全运营平台基于很多类型调查对象,不管是人、设备,还是邮箱、文件、域名,可以提供更多便利调查工具,例如搜索引擎、可视化关联分析的引擎、统计分析引擎,图计算引擎等,给安全服务和安全运维人员提供更多的工具。无论是对于安全事件的定位、处置和分析,还是对日常安全运维管理效率提升,或对于管理层安全管理和决策,可以实现更高效率的运转过程。

总结起来看,360 NGSOC基于大数据安全分析、威胁情报驱动,并达到智慧协同的方式,最终基于数据驱动,实现对安全事件的及时发现、快速响应、调查分析,形成新的发现、响应和防御的体系。“安全+大数据方式的NGSOC是利用互联网安全改造传统安全产业,就是给传统安全增加了‘眼睛’和‘大脑’。”韩永刚说。