Gestión de seguridad del SOC
Con los problemas de seguridad de la información cada vez más importantes y el desarrollo continuo de la teoría y la tecnología de gestión de la seguridad, es necesario gestionar toda la red y el sistema desde una perspectiva de seguridad. Sin embargo, el NOC tradicional carece de soporte técnico en esto. área, por lo que surgió el concepto de SOC. Sin embargo, todavía no existe una definición unificada de SOC en el extranjero. Wikipedia solo tiene una introducción básica: SOC (Escenario de operación de seguridad) es una unidad centralizada dentro de una organización que maneja diversos problemas de seguridad desde la perspectiva de toda la organización y la tecnología. SOC cuenta con una oficina centralizada y un administrador fijo de operación y mantenimiento. Los fabricantes de seguridad y proveedores de servicios extranjeros también tienen interpretaciones obviamente diferentes del SOC. Para responder constantemente a los nuevos desafíos de seguridad, las empresas y organizaciones han implementado firewalls, UTM, sistemas de protección y detección de intrusos, sistemas de escaneo de vulnerabilidades, sistemas antivirus, sistemas de administración de terminales, etc., para construir una serie de líneas de defensa de seguridad. Sin embargo, estas líneas de defensa de la seguridad sólo resisten las amenazas a la seguridad desde cierto aspecto, formando "islas de defensa de la seguridad" y no pueden producir efectos sinérgicos. Lo que es más grave es que estos complejos recursos de TI y sus instalaciones de defensa de seguridad continúan generando una gran cantidad de registros y eventos de seguridad durante su operación, formando una gran cantidad de "islas de información". Ante esta enorme y dispersa información de seguridad, los administradores de seguridad limitados operan las interfaces de la consola y las ventanas de alarma de varios productos, lo cual es a la vez impotente y extremadamente ineficiente, lo que dificulta descubrir riesgos de seguridad reales. Por otro lado, los requisitos cada vez más urgentes de auditoría y control interno de los sistemas de información, los requisitos de protección jerárquica y los requisitos cada vez mayores de continuidad del negocio de las empresas y organizaciones también han planteado graves desafíos a los clientes.
En vista de las destacadas necesidades de los clientes antes mencionadas, desde el año 2000 se han lanzado productos SOC (Centro de operaciones de seguridad) en el país y en el extranjero. Los productos SOC nacionales actuales, es decir, las plataformas de gestión de seguridad, se ven afectados por los requisitos de seguridad nacionales y tienen fuertes características chinas. En términos generales, SOC se define como una seguridad centralizada que toma los activos como núcleo, la gestión de eventos de seguridad como proceso clave, establece un modelo de riesgo de activos en tiempo real basado en la idea de división del dominio de seguridad y ayuda a los administradores a análisis de eventos y riesgos, gestión de alerta temprana y sistema de gestión de respuesta a emergencias.
SOC es un sistema complejo, que incluye productos, servicios y operación y mantenimiento. SOC es una combinación orgánica de tecnología, procesos y personas. Los productos SOC son la plataforma de soporte técnico del sistema SOC y son el valor de los productos SOC. No podemos exagerar las funciones de los productos SOC ni subestimar su importancia. Al igual que una buena escoba, no se nace con una habitación limpia, pero alguien la necesita para limpiar la habitación.
Posicionamiento de la industria de la seguridad de la información
Si la industria de la seguridad de la información se divide en dos partes: productos y servicios, entonces los productos SOC se encuentran en la cima de la pirámide del mercado de productos de seguridad de la información.
Los productos SOC son el epítome de todos los productos de seguridad. Los productos SOC no reemplazan los productos de seguridad originales, pero sobre la base de estos productos de seguridad, construimos una plataforma integrada de integración de tecnología para la gestión y las operaciones de seguridad desde una perspectiva empresarial.
La industria de la seguridad de la información es una industria que cambia y se desarrolla rápidamente. La connotación y extensión de SOC continuará actualizándose, pero el estado superior de los productos SOC en toda la estructura de productos de seguridad de la información nunca cambiará. Como se mencionó anteriormente, no existe una definición clara de SOC en el extranjero, y su trayectoria de desarrollo puede verse desde las dos dimensiones de productos y servicios.
(1) Productos SOC
Hay muy pocos productos extranjeros que lleven el nombre de SOC, y SOC está más relacionado con los servicios. Los fabricantes de productos extranjeros utilizan el término SIEM (Gestión de eventos e información de seguridad) para representar productos SOC y mostrar la diferencia entre productos y servicios.
Cabe señalar que los productos SIEM son diferentes a los productos SOC que entendemos. Los productos SIEM son los productos principales de SOC, pero no lo son todos.
Según el análisis de la curva del ciclo de exageración de la seguridad de la información de 2008 de Gartner, el mercado global de plataformas de gestión de seguridad está madurando y se convertirá en un producto principal de la industria en menos de dos años (contando desde 2009). El Cuadrante Mágico de Gestión de Eventos e Información de Seguridad (SIEM) de 2009 publicado por Gartner muestra que el mercado global de SIEM creció un 30% en 2008, con unos ingresos totales que alcanzaron aproximadamente 654.380 millones de dólares estadounidenses.
(2) Servicio SOC
El servicio SOC se refiere al MSSP (proveedor de servicios de seguridad administrados) que brinda servicios de seguridad a los clientes con el soporte técnico de SOC. En este caso, lo que los clientes experimentan es sólo el servicio de seguridad, no el SOC en sí.
Desde el desarrollo del SOC, cada vez más países extranjeros han vinculado el SOC con los servicios. Esto está estrechamente relacionado con el nivel de desarrollo de seguridad de la información de los países extranjeros (principalmente Europa y Estados Unidos) y el nivel de conciencia de seguridad. de clientes.
Según el Cuadrante Mágico de MSSP de América del Norte de Gartner para el segundo semestre de 2008, los ingresos del mercado norteamericano en 2007 fueron de aproximadamente 570 millones de dólares y se espera que crezcan un 65.438+05% en 2008. Desde que el concepto de SOC se introdujo en China, ha quedado profundamente marcado con características chinas. Debido a las particularidades de la industria y las necesidades de seguridad de la información, así como al atraso de los conceptos, sistemas, sistemas y mecanismos de gestión de redes y seguridad de mi país.
La introducción y el desarrollo del SOC en China es muy diferente a lo que ocurre en el extranjero, es decir, cuando China propuso el SOC, excepto para las unidades altamente basadas en información como las telecomunicaciones, la telefonía móvil, la aviación civil y las finanzas, la mayoría. empresas y organizaciones Ni siquiera se creó ningún NOC. Como resultado, el desarrollo del SOC nacional tiene trayectorias de desarrollo completamente diferentes según la industria. Las unidades de telecomunicaciones, telefonía móvil, aviación civil, finanzas y otras unidades establecieron NOC anteriormente, y su comprensión del SOC es básicamente la misma que la de los países extranjeros. Otras empresas y organizaciones tienen una comprensión más vaga del SOC, lo que las hace más pragmáticas. Las necesidades y expectativas de estos dos tipos de clientes para SOC son completamente diferentes. El último supera al primero en la amplitud de la demanda, por lo que es difícil utilizar SOC en los campos de las telecomunicaciones, la telefonía móvil, las finanzas, etc. necesidades del gobierno y otras empresas e instituciones.
El SOC también tiene dos dimensiones de desarrollo en China: productos y servicios.
(1) Productos SOC
En China, los productos SOC generalmente se denominan plataformas de gestión de seguridad, pero las especificaciones de inspección de productos de la plataforma de gestión de seguridad del Ministerio de Seguridad Pública no cubren realmente todos los contenidos. de SOC. Las plataformas de gestión de la seguridad nacional tienen dos definiciones, restringida y amplia.
El enfoque de la plataforma de gestión de seguridad en un sentido estricto se refiere a la gestión centralizada de equipos de seguridad, incluida la supervisión centralizada del estado operativo, la recopilación y análisis de eventos y la publicación de políticas de seguridad.
Una amplia plataforma de gestión de seguridad no solo gestiona equipos de seguridad, sino que también gestiona de forma centralizada todos los recursos de TI e incluso los sistemas comerciales, incluido el monitoreo de operaciones de los recursos de TI, la recopilación y el análisis de eventos, la gestión de riesgos y la operación y mantenimiento. Esta es también la definición general de SOC.
CCID Consulting comenzó a analizar productos SOC por primera vez en su informe de análisis de mercado de productos de seguridad de la información en 2007.
(2) Servicios SOC
En China, los servicios SOC siempre están en su infancia, lo que contrasta marcadamente con los países extranjeros. Esto se debe a la etapa de desarrollo general de la industria nacional de seguridad de la información.
Finalmente, no importa cómo se desarrolle el SOC en China, este concepto ha sido reconocido gradualmente por la industria y los clientes. Con la mejora del nivel de seguridad de la información nacional, la industria de la seguridad de la información, las universidades y los institutos de investigación científica le están prestando cada vez más atención.
Desarrollo de una nueva etapa de SOC2.0
Con la profundización del negocio de los clientes y la clarificación de las necesidades de la industria, las limitaciones de los conceptos y tecnologías de SOC tradicionales han ido surgiendo gradualmente, reflejadas principalmente en tres aspectos: primero, en términos de diseño de sistemas, los diseños de SOC tradicionales funcionan en torno a activos y carecen de análisis de negocios. En segundo lugar, en términos de soporte técnico, el SOC tradicional carece de una recopilación integral de información de seguridad empresarial. Finalmente, durante el proceso de implementación, la implementación tradicional de SOC solo considera la seguridad en sí y no presta atención al negocio del cliente. La debilidad de centrarse en los activos y carecer de una perspectiva empresarial hace que el SOC tradicional no pueda satisfacer verdaderamente las necesidades más profundas de los clientes.
Para los usuarios, la verdadera seguridad no es la simple seguridad del dispositivo, sino la seguridad del sistema empresarial. La gestión de la seguridad de los recursos de TI no es un fin en sí misma. El requisito principal es garantizar la disponibilidad, continuidad y seguridad del negocio realizado por los recursos de TI, porque el negocio es el sustento de las empresas y organizaciones. Para garantizar la seguridad empresarial, es necesario establecer un sistema de gestión empresarial orientado al usuario y ver el funcionamiento y la seguridad de los recursos de TI desde una perspectiva empresarial. Si el SOC tradicional se llama SOC1.0, entonces el SOC orientado a servicios se puede llamar SOC2.0.
Definición de SOC2.0: SOC2.0 es un sistema integral de gestión de seguridad con el negocio como núcleo. SOC2.0 comienza desde el negocio y recopila la información de empresas y organizaciones a través del análisis de necesidades comerciales, modelado comercial, gestión de activos y dominios de seguridad orientados al negocio, monitoreo de la continuidad del negocio, análisis de valor comercial, análisis de impacto y riesgo comercial, visualización comercial y otros. enlaces La información de seguridad de diversos recursos de TI se estandariza, monitorea, analiza, audita, genera alarmas, responde, almacena y reporta desde una perspectiva comercial. SOC2.0 toma el negocio como núcleo y recorre todas las etapas del ciclo de vida del sistema de gestión de seguridad de la información, desde la investigación, el despliegue, la implementación hasta la operación y el mantenimiento.
El valor de SOC2.0 es garantizar una coherencia confiable y segura con las estrategias comerciales de los clientes, promover el uso efectivo de los recursos de información de los clientes y reducir los riesgos operativos. En general, el SOC ha experimentado una trayectoria de desarrollo que va desde la descentralización a la concentración, y desde el centrado en los activos al centrado en los negocios. A medida que el nivel de construcción segura en nuestro país continúe mejorando, la orientación comercial de la gestión de la seguridad será cada vez más obvia.
En los primeros días de la construcción de la seguridad de la información, se desplegaron cada vez más equipos y sistemas de seguridad, formando gradualmente "islas de defensa de la seguridad", lo que provocó un fuerte aumento en los costos de gestión de la seguridad y una rápida disminución de la seguridad. eficiencia del aseguramiento. Por lo tanto, surgió el primer sistema de gestión de seguridad, que realizaba principalmente el monitoreo centralizado y la distribución de políticas de firewalls/VPN y otros dispositivos dispersos en la red, y construyó un sistema unificado de protección de seguridad fronteriza relativamente completo.
A medida que la comprensión de la seguridad de la información continúa profundizándose, el pensamiento sistemático de la gestión de la seguridad ha madurado gradualmente y ha surgido un sistema integral de monitoreo, análisis y respuesta de la seguridad: SOC 1.0. SOC1.0 toma los activos como línea principal e implementa procesos de procesamiento y gestión de eventos relativamente completos, así como procesos de gestión de riesgos y operación y mantenimiento.
La aparición de SOC1.0 ha mejorado el nivel de gestión de la seguridad de la información de los usuarios, estableciendo así mayores expectativas para la gestión de la seguridad de la información. La necesidad de gestionar la seguridad desde la perspectiva del negocio del cliente aumenta día a día, por lo que surgió el SOC2.0 orientado a servicios.
SOC2.0 hereda y desarrolla el pensamiento de gestión centralizada tradicional de SOC1.0, integra seguridad y negocios, y realmente construye un sistema de seguridad integrado desde la perspectiva del valor comercial del cliente. De cara al futuro, el desarrollo del SOC siempre seguirá dos caminos: productos y servicios.
Desde la perspectiva del producto, de SOC1.0 a SOC2.0, se logra la integración del negocio y la seguridad, lo que está en línea con las necesidades generales de gestión de TI y las tendencias de desarrollo tecnológico. En el siguiente paso, seguirán surgiendo productos SOC2.0 orientados a los negocios. A medida que las necesidades de los clientes se vuelven cada vez más prominentes y los sistemas comerciales se vuelven cada vez más complejos, cada vez más empresas y organizaciones implementarán sistemas SOC.
Desde una perspectiva de servicios, SOC se convertirá en la plataforma de soporte de servicios para MSSP (Proveedor de servicios de seguridad gestionados), la plataforma de soporte técnico para SaaS (Software como servicio, Seguridad como servicio), así como la nube. backend de gestión de seguridad informática y seguridad en la nube. Todos los servicios de seguridad experimentados por los usuarios contarán con el respaldo total del SOC.
Por un lado, las ideas y conceptos comerciales de los productos SOC penetrarán en los servicios SOC; por otro lado, la mejora de los niveles de servicio SOC y la conciencia del cliente también promoverán el desarrollo y la madurez de los productos SOC; .