■濰坊 郭曉昆 姜建華

隨著對云計算需求的日益增加，許多企業(yè)外購了一些安全運營中心（SOC）功能。因而，評估安全運營中心即服務(wù)是否是企業(yè)的最佳模式成為必要的事。

由于網(wǎng)絡(luò)安全領(lǐng)域中新技術(shù)層出不窮，對術(shù)語的精確描述問題變得復(fù)雜。例如，在一種技術(shù)或攻擊被發(fā)現(xiàn)后，就需要一個新的名稱來與以前的名詞區(qū)分開。

有時，有些術(shù)語和行話使問題更加復(fù)雜或模糊。安全專家們都熟悉某些廠商的語言，這種營銷用的說辭可能使我們難以理解產(chǎn)品或服務(wù)的真正功能和運行方式。

有個相對較新的詞——“SOCaaS(安全運營中心即服務(wù))”。由于某些原因，這個詞給安全從業(yè)者帶來一些困惑。首先，安全從業(yè)者可能對SOCaaS與可管理的安全服務(wù)供應(yīng)商（MSSP）、管理檢測與響應(yīng)（MDR）等其他模式的區(qū)別存在疑問。

其次，安全運營中心的角色和范圍可能在不同的公司之間存在差異。哪些安全運營中心元素要包括到這些產(chǎn)品的服務(wù)部分？哪些不能？對于從業(yè)者來說，要知道SOC是否適合其安全項目是很難的。從業(yè)者甚至很難知道“安全運營中心即服務(wù)”是個新事物，或者該事物就是他們已知的某種技術(shù)的營銷行話。

考慮到這些問題，下面討論SOCaaS是什么，以及它與其他模式的區(qū)別，如何評估SOCaaS是否適合企業(yè)需求。

定義SOCaaS

SOCaaS指的是將安全運營中心的部分功能外包給外部供應(yīng)商的一種基于服務(wù)的模式。SOCaaS的主要動因是日漸增加的對云的使用。過渡到云意味著，與本地環(huán)境相比，告警、日志、網(wǎng)絡(luò)信息等安全信息都可通過不同的渠道進行訪問。

在云環(huán)境中，安全團隊通過不同的機制獲得不同層次上的不同信息。那么，安全團隊如何將這些信息與來自本地或企業(yè)管理工具中的信息協(xié)調(diào)一致？這正是SOCaaS試圖解決的問題。SOCaaS利用自動化跟蹤環(huán)境中的資源和異常來運行，它也可以進行阻截或發(fā)出告警來作為響應(yīng)。這些工作可以通過一種完全自動化的方式完成，有時也可以交由人工審查從而找出虛假信息。

SOCaaS重視的是監(jiān)視傳統(tǒng)安全運營中心的要素，而不是公司具體的運營要素。這正是SOCaaS不同于傳統(tǒng)的MSSP的地方。MSSP（安全托管服務(wù)提供商）可能將監(jiān)視作為其服務(wù)提供的一部分，但同時又往往包括許多本地安全工具的運營。

我們以完成這種監(jiān)視所需要的源要素為例。其中可以包括本地安全工具的運維，如入侵檢測系統(tǒng)和防火墻，以及從網(wǎng)絡(luò)設(shè)備上收集信息的設(shè)備和從各種資源收集的日志等。MSSP不僅會處理一部分監(jiān)視功能，還往往承擔著用以完成監(jiān)視數(shù)據(jù)收集的物理基礎(chǔ)架構(gòu)的運維。

相比較而言，SOCaaS以及MDR所提供的服務(wù)一般都利用分析、機器學(xué)習(xí)和其他工具或方法來簡化檢測過程。當數(shù)據(jù)收集工具是由不同種類組成并且對特定企業(yè)來說是唯一的時，這種簡化就更為有效。

在這一點上，有些專業(yè)人士可能會認為SOCaaS聽起來就像是MDR。二者確實在有的方面都有重疊。與SOCaaS類似，MDR往往利用機器學(xué)習(xí)和分析工具來幫助進行事件檢測，并且往往可以進入多種客戶環(huán)境（如云、本地等）來完成檢測。要點在于供應(yīng)商利用自己的工具和技術(shù)，可以提供檢測和響應(yīng)功能的規(guī)模效益，這比客戶自己實現(xiàn)這些功能花費的更少。MDR不像傳統(tǒng)的MSSP模式，MDR合作伙伴往往不直接管理或運營客戶本地的SIEM、IDS、網(wǎng)絡(luò)行為異常檢測或網(wǎng)絡(luò)過濾等安全工具。

當然，并非所有的服務(wù)供應(yīng)商或產(chǎn)品都是一樣的。隨著產(chǎn)品或服務(wù)不斷開發(fā)以及各種角色的不斷革新，很有可能出現(xiàn)一些重疊的方面。

如何評估SOCaaS是正確的選擇

為評估最佳的服務(wù)，企業(yè)應(yīng)當分析自己的需求。如果一家大型企業(yè)已經(jīng)有了一家或多家MSSP關(guān)系，那么這些供應(yīng)商就有可能以增量成本來支持監(jiān)視。如果一家企業(yè)擁有明確界定的云環(huán)境，例如，大量使用一家供應(yīng)商的IaaS,這種服務(wù)專門針對那種環(huán)境，因而這可能是一種不錯的選擇。企業(yè)可能選擇與一家MDR企業(yè)合作從而有助于提升其響應(yīng)能力。

決定哪種選擇最佳要依賴于企業(yè)已經(jīng)部署什么，企業(yè)期望完成的任務(wù)是什么，還有特定企業(yè)的影響任務(wù)完成方式的標準。

企業(yè)不妨從系統(tǒng)性地理解和分析安全項目期望實現(xiàn)的功能開始。其目標是強化檢測功能從而改善檢測結(jié)果嗎？或者目標是降低監(jiān)視成本、提高對云環(huán)境的可見性或是強化本地或是外部環(huán)境嗎？回答這些問題可以使企業(yè)明白哪些類型的服務(wù)或供應(yīng)商可能是最適合的。

在確定必要功能的簡短清單時，企業(yè)應(yīng)當做兩件事情。首先，要求親自參與。例如，如果企業(yè)選擇執(zhí)行滲透測試（可能PCI DSS要求這一步驟），就應(yīng)當在滲透測試期間要求找一家SOCaaS，以驗證供應(yīng)商如何執(zhí)行測試。這有助于確認在交付中的任何不可預(yù)料的小問題。

注意，并不是在每種情況下這都是一種選擇，有些供應(yīng)商可能有一些約束和要求，從而限制此步驟的可行性。

此外，安全團隊可能不會僅僅為了測試一家特定廠商的能力而對其整個監(jiān)視的基礎(chǔ)架構(gòu)進行交叉性升級。然而，供應(yīng)商可能非常熟悉這類請求，所以供應(yīng)商有經(jīng)驗幫助嘗試評估的潛在客戶。

最后，在評估一些承諾的的特性和供應(yīng)商時，安全團隊必須在使用供應(yīng)商的服務(wù)期間、之前和之后都進行監(jiān)管。正如安全團隊為理解服務(wù)等級協(xié)議、變化的價格和性能而要監(jiān)管云供應(yīng)商一樣，企業(yè)也必須確保了解特定的服務(wù)供應(yīng)商是如何隨著時間推移而運作的。