幾乎所有大型企業或機構的IT系統中，都會有安全運營中心(SOC)，它是網絡安全防護體系從設備部署到系統建設，再到統一管理，這一發展過程的自然產物。但在國內的實際應用中，SOC的問題多多。

首先是數據類型不全，主要為各種網絡和安全設備推出的大量日志和告警數據，再者不具備海量大數據存儲分析和處理的能力，最后是專業安全人才的匱乏。這些問題均導致安全運維或分析人員疲于應付，很難從中發現真正的異常網絡行為，最終令SOC名存實亡。

那么問題來了，如何改變傳統SOC的種種弊端？所謂的下一代SOC又是怎樣呢？

就在中秋節前夕，360企業安全發布了新一代態勢感知及安全運營平臺，NGSOC。下面我們就來看一看這款在360企業安全產品線中有著“大腦”和“眼睛”地位的NGSOC。

區別于傳統SOC的三大特點

1. 大數據

數據驅動安全的理念已得到業界的廣泛認可。除了360本身擁有的云端大數據平臺以外，360 NGSOC 最重要的特點之一就是本地全量數據的采集和分析。

360云端大數據平臺擁有的數據：

安全防護體系的一個關鍵基礎就是持續的監測和分析能力，而這種能力基礎則來自于各個層面或各個維度的數據積累。這些層面或維度包括了終端、網絡、應用、系統，甚至是與人有關的數據。把之前這些各自獨立的條狀數據關聯在一起成為塊狀數據，并結合不同的時間維度（事前、事中、事后），通過分布式、大數據量存儲和快速計算去進行計算和關聯分析，才能真正看到傳統SOC所看不見的安全問題，最終形成一個由數據驅動的縱深防御體系。

2. 威脅情報

在威脅發現方面，NGSOC基于的是情報+規則關聯+機器學習+統計行為分析的方法，而不僅僅是簡單的規則關聯引擎。這種新型的情報觸發方式，需要的是復雜的關聯調查分析，傳統的SOC產品非常難做到這一點。

例如在做本地關聯分析的時候，需要了解攻擊在不同主機和服務器之間的關聯性，不僅要對本地日志進行快速檢索，云端的威脅情報也必不可少。這時就可通過360威脅情報中心的海量數據，從樣本、運維、系統等各個角度查找其關聯性，結合本地數據回溯攻擊過程，快速地對攻擊進行鑒定。簡單的說就是，以多維度數據為基礎，結合云端大數據平臺產生的高價值威脅情報，即云地協同，來真正幫助客戶精準命中高級威脅。

“結合大數據分析平臺和威脅情報支持將是SOC產品的未來方向。”
——360企業安全集團董事長齊向東

3. 智慧協同

有著“大腦”和“眼睛”之中樞地位的NGSOC，需要與手腳或皮膚聯動起來，即360的終端（天擎）和防火墻（天堤），形成智慧協同。

整個NGSOC平臺，從最底層的一手數據采集，到大數據平臺上的數據存儲、處理和計算，再到利用各種工具和引擎進行深入的安全分析，最后發出告警并實施響應。這里的關鍵在于與終端檢測響應(EDR)和網絡檢測響應(NDR)的協同聯動。

從大數據分析平臺出來的告警和策略會通過終端、防火墻的系統策略下發。傳統的響應處置只是策略下發，是非自動化的，還需要進行非常復雜的各種產品配置。NGSOC則可與EDR和NDR做聯動，包括對云端服務的一鍵求助，可快速發現并快速處置問題。

智慧聯動還有一層意思，即開放API接口，使得第三方運維團隊或第三方安全服務團隊也能夠基于這個數據平臺開發應用，有利于整體安全態勢感知的呈現，輔助管理層的決策。

“安全協同能力，不論在數據、智能還是產業層面，是’安全+大數據’背景下的必然產物，也是從傳統安全向下一代安全的演進的重要能力。”
——360企業安全集團副總裁韓永剛

NGSOC VS 傳統SOC

談談態勢感知

360此次發布的產品名為“新一代態勢感知及安全運營平臺”，因此發布會后，記者就此問題采訪了360企業安全總裁吳云坤。

1. 態勢感知的價值所在

首先是主管機構的管理要求。如網信辦要看整個互聯網，地方公安要看整個城市，稅務或金融要看整個行業。主管或監管部門要知道整體情況，進行績效考核、協查通報等都可以以此為基礎。

再者就是輔助決策。例如，把過去十年所有某地區的高級威脅入侵方式和攻擊路徑、手法放在一起，可以發現攻擊組織能力的變更。可以看出它最早使用的工具，通過誰控制的誰。隨著重要活動或事件的發展，不管是一帶一路、奧運會，還是G20，了解它的下一步目標是什么，應該怎么去防護等等，這些信息通過態勢感知是可以發現的。

2. 態勢感知的關鍵點

做好態勢感知的基礎是數據，包括各種維度的數據。如流量數據、樣本數據、漏洞數據，最近流行什么惡意軟件，發現什么漏洞利用等，通過觀察這些數據，態勢或趨勢就在其中。但這些也只是技術性態勢，屬于戰術級的，對領導決策作用不大。因此需要數據的理解和提升，形成情報。如事件的背后組織是誰？用的什么手法，什么時候攻擊什么人，最終描繪出整個組織。

所謂對數據的理解，是從個體基因者到家族基因再到組織基因的分析和辨別。

攻擊目標一般分為兩類，一類是普通人，一類是政府機構。前者屬于民生，最大的問題就是詐騙，涉及到偽基站短信、惡意應用、非法應用等。當發現某些態勢，如詐騙手法的改變時，去做及時預警。后者是和國家社會安全相關的，對電廠、交通、能源等基礎設施的破壞，對科技、軍事情報的竊取等，這些都是態勢感知的關鍵點。

3. 態勢感知面臨的挑戰

實際上，市場上許多態勢感知系統并沒有產生非常有效的作用。地方公安系統需要的態勢感知，除了對整體安全趨勢的了解，最大的需求的是破案。但目前的很多態勢感知系統，解決不了這個問題。而企業內部需要的信息系統態勢感知，要了解一起安全事件的背后是誰實施的，具體做了哪些事情，拿走了哪些數據。同樣，目前很多的安全運營系統也解決不了這些問題。

當目前的業務需求還沒有滿足的時候，態勢感知的實施稍顯空洞。

態勢感知要支持高層決策，不僅要具備足夠豐富的網絡數據，還要與不同的機構進行協同合作。這是一個從最底層事件上升到組織背景，然后判斷其發展趨勢的過程，絕不能僅僅停留在感知事件的層次上。

安全牛評

NGSOC與傳統SOC的最大差別，在于大數據能力的引入，再加上威脅情報、智慧協同，從而使其具備進階的發現、響應與調查分析的能力。當然用好它還需要人與服務的結合，數據與系統作為基礎，幫助安全運維人員與安全分析人員提供各類分析工具，提升效率，并最終輔助管理層決策。除此之外，完全依賴SOC來“包打天下”的想法也是不可取的。身份驗證與管理，權限訪問與控制，通信加密與數據保護，包括網絡安全意識的教育與培訓，都是做好網絡空間安全工作的重要基礎。