1、谷安�������天下CEO安全牛创始人新一代安全智能SOC技术与市场指南目录1、ISOC的理念2、ISOC能力建设3、ISOC技术实现4、ISOC建设难点5、ISOC的市场分析6、ISOC的主流厂商传统SOC的问题缺乏安全攻防对抗的能力缺乏大数据处理的能力缺乏安全智能分析的能力缺乏有效响应协同的能力缺乏专业人员运营的能力?新一代ISOC的理念大数据化情报驱动多维度化智能化交互化可视化协同化理念自适应安全架构风险可见化:Visibility防御主动化:Proactive运行自动化:Automotive 目录1、ISOC的理念2、ISOC能力建设3、ISOC技术实现4、ISOC建设难点5、ISOC的市场分析6
2、、ISOC的主流厂商安全防御在新一代SOC体系中,SOC将为安全设备提供安全智能引擎和情报数据,采用主动防御策略,自动化协同安全能力,并逐步实现安全策略的可视化。安全检测与持续监控采用大数据平台架构增加网络流量分析(NTA)DNS访问数据(pDNS)分析采用用户与实体行为分析(UEBA)增加终端检测和响应(EDR)采用威胁情报平台(TIP)技术和产品人机交互分析工具新一代SOC的安全监测能力将快������速响应采用事件响应平台(IRP),收到安全报警后可实现自动化编排响应行动,提供有价值的情报和事件上下文,并能对复杂的网络威胁作出自适应响应;应能与各类SIEM、IT Help Desk系统集成,自动或手
3、动触发响应工单,实现安全策略变更和控制,如关闭漏洞、关闭网络端口、升级系统配置、修改用户权限或者提升信息防护的强度等;逐步做到与安全设备联动,自动化分发安全策略,实现自动响应。新一代SOC的快速响应能力建设包括:溯源取证新一代SOC将重点打造威胁追捕(Threat Hunting)的能力。使用威胁追捕平台提高了高级威胁的检测能力、增加了寻找威胁的新������方式、发现了他们之前没有发现过的威胁、减少了调查时间等。威胁追捕平台的特点是使用机器学习方法来进行自动决策,调查取证和自动分析。威胁追捕类型描述假设驱动这种类型的威胁溯源是先基于一个假设,比如假设攻击者是一个已知黑客团体的TTP,或者某个竞争对手IO
4、C驱动根据攻击的数据和相关IOC,从已知攻击者IOC库中进行深入调查和分析分析驱动采用高级分析技术、机器学习、人工智能等技术来辅助识别风险预警新一代SOC的风险预警能力建设将包括:主动风险评估、预测威胁持续设定安全基线持续漏洞跟踪,预测重大漏洞可能引起的攻击通过威胁情报共享,及时发现同行业的攻击行为,关注黑客市场和新闻目录1、ISOC的理念2、ISOC能力建设3、ISOC技术实现4、ISOC建设难点5、ISO�������C的市场分析6、ISOC的主流厂商ISOC的平台主要功能模块功能模块数据采集平台大数据存储与计算平台大数据分析引擎威胁情报平台可视化展示与分析威胁溯源/追捕平台自动化响应平台风险分析与预警
5、平台12345678ISOC整体架构示意图系统日志应用日志设备日志系统日志全包流量Netflow流DNS数据数据采集Flume数据预�����处理Kafka流计算框Spark Streaming分布式文件系统HD����FS搜索Elasticssearch接口STIX/API关联分析规则匹配模式识别图交互引擎机器学习威胁溯源与追捕平台事件响应管理平台IRP风险分析与预警管理可视化展示与报表威胁情报管理平台TIP端点管理身份管理信誉库IOCC基础数据漏洞管理资产管理管理模块分析引擎大数据存储与计算数据源系统接口威胁情报管理团队分析团队运营团队业务、人力外部专家体系支撑外部支持内部支持微观运营中观管理宏观决策ISO
6、C建设难点产品化与定制化(甲方与乙方)大数据平台如何构建(安全与业务)运营团队如何建设(自建与外包)数据采集标准缺乏(乙方厂商)情报共享机制缺乏(国家、行业、厂商)ISOC未来趋势 安全分析 行为建模 机器学习 自适应安全 上下文 情报共享态势感知行为感知情境感知02030101从SOC到态势感知机器����学习与人工智能安全与业务的融合目录1、ISOC的理念2、ISOC能力建设3、ISOC技术实现4、ISOC建设难点5、ISOC的市场分析6、ISOC的主流厂商ISOC的市场分析市场分析2017年10亿左右2020年50-100亿金融、政府、运营商、能源特定行业认可典型用户已取得验证当前市场�������状况未来市
7、场规模行业应用状况客户认知情况技术成熟度ISOC的行业需求分析有丰富的数据资源,其SOC不仅为自身的安全服务,也可以联合厂商建设面向政企客户群的SOC运营服务,并提供一系列的增值服务。金融行业明后年将迎来新一代SOC建设需求的爆发,金融行业有更多的业务�����场景,需要SOC提供更深入的安全运营能力,比如业务反欺诈将成为金融行业安全中心的核心业务应用。政府行业需求的特点重点在对外部攻击的防范,APT的检测,安全状态的感知等。公安行业建设态势感知平台,对管辖范围内的关键基础设施,企事业单位的安全态势感知,掌握等保落实情况,及时发现安全隐患,并推动整改。运营商行业SOC模式主要的服务需求专有SOC咨询、实施、外包虚拟SOC 实施、外包分布式SOC咨询、实施、外包SOC指挥中心咨询、实施、外包多功能SOC/NOC 外包融合SOC 咨询、实施ISOC的服务需求 SOC架构与流程设计SOC成熟度评估威胁溯源与追捕 漏洞管理体系 渗透测试 安全培训与安全意识教育安全咨询安全实施 技术平台选择 集成与实施服务 SOC相关产品支持安全外包 安全运营人员外包管 理安全服务 管理监测和响应ISOC主流厂商谢谢
sgpjbg002
工作日 8:30 - 17:30
报告分类
