■濰坊 郭曉昆 姜建華

隨著對(duì)云計(jì)算需求的日益增加，許多企業(yè)外購(gòu)了一些安全運(yùn)營(yíng)中心（SOC）功能。因而，評(píng)估安全運(yùn)營(yíng)中心即服務(wù)是否是企業(yè)的最佳模式成為必要的事。

由于網(wǎng)絡(luò)安全領(lǐng)域中新技術(shù)層出不窮，對(duì)術(shù)語的精確描述問題變得復(fù)雜。例如，在一種技術(shù)或攻擊被發(fā)現(xiàn)后，就需要一個(gè)新的名稱來與以前的名詞區(qū)分開。

有時(shí)，有些術(shù)語和行話使問題更加復(fù)雜或模糊。安全專家們都熟悉某些廠商的語言，這種營(yíng)銷用的說辭可能使我們難以理解產(chǎn)品或服務(wù)的真正功能和運(yùn)行方式。

有個(gè)相對(duì)較新的詞——“SOCaaS(安全運(yùn)營(yíng)中心即服務(wù))”。由于某些原因，這個(gè)詞給安全從業(yè)者帶來一些困惑。首先，安全從業(yè)者可能對(duì)SOCaaS與可管理的安全服務(wù)供應(yīng)商（MSSP）、管理檢測(cè)與響應(yīng)（MDR）等其他模式的區(qū)別存在疑問。

其次，安全運(yùn)營(yíng)中心的角色和范圍可能在不同的公司之間存在差異。哪些安全運(yùn)營(yíng)中心元素要包括到這些產(chǎn)品的服務(wù)部分？哪些不能？對(duì)于從業(yè)者來說，要知道SOC是否適合其安全項(xiàng)目是很難的。從業(yè)者甚至很難知道“安全運(yùn)營(yíng)中心即服務(wù)”是個(gè)新事物，或者該事物就是他們已知的某種技術(shù)的營(yíng)銷行話。

考慮到這些問題，下面討論SOCaaS是什么，以及它與其他模式的區(qū)別，如何評(píng)估SOCaaS是否適合企業(yè)需求。

定義SOCaaS

SOCaaS指的是將安全運(yùn)營(yíng)中心的部分功能外包給外部供應(yīng)商的一種基于服務(wù)的模式。SOCaaS的主要?jiǎng)右蚴侨諠u增加的對(duì)云的使用。過渡到云意味著，與本地環(huán)境相比，告警、日志、網(wǎng)絡(luò)信息等安全信息都可通過不同的渠道進(jìn)行訪問。

在云環(huán)境中，安全團(tuán)隊(duì)通過不同的機(jī)制獲得不同層次上的不同信息。那么，安全團(tuán)隊(duì)如何將這些信息與來自本地或企業(yè)管理工具中的信息協(xié)調(diào)一致？這正是SOCaaS試圖解決的問題。SOCaaS利用自動(dòng)化跟蹤環(huán)境中的資源和異常來運(yùn)行，它也可以進(jìn)行阻截或發(fā)出告警來作為響應(yīng)。這些工作可以通過一種完全自動(dòng)化的方式完成，有時(shí)也可以交由人工審查從而找出虛假信息。

SOCaaS重視的是監(jiān)視傳統(tǒng)安全運(yùn)營(yíng)中心的要素，而不是公司具體的運(yùn)營(yíng)要素。這正是SOCaaS不同于傳統(tǒng)的MSSP的地方。MSSP（安全托管服務(wù)提供商）可能將監(jiān)視作為其服務(wù)提供的一部分，但同時(shí)又往往包括許多本地安全工具的運(yùn)營(yíng)。

我們以完成這種監(jiān)視所需要的源要素為例。其中可以包括本地安全工具的運(yùn)維，如入侵檢測(cè)系統(tǒng)和防火墻，以及從網(wǎng)絡(luò)設(shè)備上收集信息的設(shè)備和從各種資源收集的日志等。MSSP不僅會(huì)處理一部分監(jiān)視功能，還往往承擔(dān)著用以完成監(jiān)視數(shù)據(jù)收集的物理基礎(chǔ)架構(gòu)的運(yùn)維。

相比較而言，SOCaaS以及MDR所提供的服務(wù)一般都利用分析、機(jī)器學(xué)習(xí)和其他工具或方法來簡(jiǎn)化檢測(cè)過程。當(dāng)數(shù)據(jù)收集工具是由不同種類組成并且對(duì)特定企業(yè)來說是唯一的時(shí)，這種簡(jiǎn)化就更為有效。

在這一點(diǎn)上，有些專業(yè)人士可能會(huì)認(rèn)為SOCaaS聽起來就像是MDR。二者確實(shí)在有的方面都有重疊。與SOCaaS類似，MDR往往利用機(jī)器學(xué)習(xí)和分析工具來幫助進(jìn)行事件檢測(cè)，并且往往可以進(jìn)入多種客戶環(huán)境（如云、本地等）來完成檢測(cè)。要點(diǎn)在于供應(yīng)商利用自己的工具和技術(shù)，可以提供檢測(cè)和響應(yīng)功能的規(guī)模效益，這比客戶自己實(shí)現(xiàn)這些功能花費(fèi)的更少。MDR不像傳統(tǒng)的MSSP模式，MDR合作伙伴往往不直接管理或運(yùn)營(yíng)客戶本地的SIEM、IDS、網(wǎng)絡(luò)行為異常檢測(cè)或網(wǎng)絡(luò)過濾等安全工具。

當(dāng)然，并非所有的服務(wù)供應(yīng)商或產(chǎn)品都是一樣的。隨著產(chǎn)品或服務(wù)不斷開發(fā)以及各種角色的不斷革新，很有可能出現(xiàn)一些重疊的方面。

如何評(píng)估SOCaaS是正確的選擇

為評(píng)估最佳的服務(wù)，企業(yè)應(yīng)當(dāng)分析自己的需求。如果一家大型企業(yè)已經(jīng)有了一家或多家MSSP關(guān)系，那么這些供應(yīng)商就有可能以增量成本來支持監(jiān)視。如果一家企業(yè)擁有明確界定的云環(huán)境，例如，大量使用一家供應(yīng)商的IaaS,這種服務(wù)專門針對(duì)那種環(huán)境，因而這可能是一種不錯(cuò)的選擇。企業(yè)可能選擇與一家MDR企業(yè)合作從而有助于提升其響應(yīng)能力。

決定哪種選擇最佳要依賴于企業(yè)已經(jīng)部署什么，企業(yè)期望完成的任務(wù)是什么，還有特定企業(yè)的影響任務(wù)完成方式的標(biāo)準(zhǔn)。

企業(yè)不妨從系統(tǒng)性地理解和分析安全項(xiàng)目期望實(shí)現(xiàn)的功能開始。其目標(biāo)是強(qiáng)化檢測(cè)功能從而改善檢測(cè)結(jié)果嗎？或者目標(biāo)是降低監(jiān)視成本、提高對(duì)云環(huán)境的可見性或是強(qiáng)化本地或是外部環(huán)境嗎？回答這些問題可以使企業(yè)明白哪些類型的服務(wù)或供應(yīng)商可能是最適合的。

在確定必要功能的簡(jiǎn)短清單時(shí)，企業(yè)應(yīng)當(dāng)做兩件事情。首先，要求親自參與。例如，如果企業(yè)選擇執(zhí)行滲透測(cè)試（可能PCI DSS要求這一步驟），就應(yīng)當(dāng)在滲透測(cè)試期間要求找一家SOCaaS，以驗(yàn)證供應(yīng)商如何執(zhí)行測(cè)試。這有助于確認(rèn)在交付中的任何不可預(yù)料的小問題。

注意，并不是在每種情況下這都是一種選擇，有些供應(yīng)商可能有一些約束和要求，從而限制此步驟的可行性。

此外，安全團(tuán)隊(duì)可能不會(huì)僅僅為了測(cè)試一家特定廠商的能力而對(duì)其整個(gè)監(jiān)視的基礎(chǔ)架構(gòu)進(jìn)行交叉性升級(jí)。然而，供應(yīng)商可能非常熟悉這類請(qǐng)求，所以供應(yīng)商有經(jīng)驗(yàn)幫助嘗試評(píng)估的潛在客戶。

最后，在評(píng)估一些承諾的的特性和供應(yīng)商時(shí)，安全團(tuán)隊(duì)必須在使用供應(yīng)商的服務(wù)期間、之前和之后都進(jìn)行監(jiān)管。正如安全團(tuán)隊(duì)為理解服務(wù)等級(jí)協(xié)議、變化的價(jià)格和性能而要監(jiān)管云供應(yīng)商一樣，企業(yè)也必須確保了解特定的服務(wù)供應(yīng)商是如何隨著時(shí)間推移而運(yùn)作的。