目前,包括天融信、东软、启明星辰、Arcsight等国内外主要安全厂商陆续推出了SOC解决方案,即SOC(Security Operation Center)安全运营中心,从SOC的市场定位来看,SOC是最适合为用户提供应急响应能力的平台,因为它不仅涉及安全事件的收集、归并和关联分析,同时还提供对各种安全设备的配置及策略管理,提供安全设备之间的联动能力,但SOC在应急响应能力的表现方面却不尽人意。
“应急响应”(Emergency Response/Incident Response)通常是指安全人员在遇到突发事件后所采取的措施和行动。应急响应包括:准备、检测、封锁、根除、恢复、跟踪六个阶段。
第一阶段“准备”(Preparation),以预防为主;
第二阶段“检测”(Detection),确定事件性质和处理人;
第三阶段“封锁”(Containment),即时采取的行动;
第四阶段“根除”(Eradication),长期的补救措施;
第五阶段“恢复”(Recovery),由备份恢复系统;
第六阶段“跟踪”(Follow-up),关注系统恢复以后的安全状况。
从上述定义的技术层面分析,“封锁”阶段在这六个阶段中起着承上启下的作用,其前面阶段以检测技术为主,后面阶段以防护和恢复技术为主,所以在检测手段日益完善后,应急响应效果好坏的的关键就在于“封锁”阶段,“封锁”阶段所花费的时间越长,损失可能越大。这个道理就像是我们在应付传染病的方式一样,只有快速的找到传染源和受感染者,并对其进行有效隔离,才是控制传染病大规模爆发的关键所在,这个阶段持续的时间越短越好,至于以后的治疗、康复和随后的医学观察,时间可以持续的长一些。
如果说IDS系统最大的问题除了“误报”和“漏报”之外,还有就是缺乏对安全事件的应急“封锁”能力,IDS除了检测报警外,基本没有“封锁”能力,这也是IPS在同IDS的竞争中获得用户认同的一个重要方面,IPS宣称可以对网络入侵等攻击行为进行检测报警的同时,还可以完成阻断控制,即具备应急响应的“检测”和“封锁”两方面的能力。
但SOC提供的应急响应能力还是停留在检测报警上,SOC在海量数据采集、事件关联分析上都取得了不小的进步,基本实现了安全事件响应处理的流程化和工单化,实现了多样化的报警能力,但在应急响应“封锁”阶段的具体技术措施上还是依靠用户去手动处理,用户在收到大量报警信息后,仍然感到束手无策,应急响应的效果可想而知,如果不能提供针对安全事件源的快速定位和隔离能力,SOC的优势和价值就很难得到用户的认同。正如发现有了传染病,却无法对传染源和被感染者进行快速隔离一样,在没有有效隔离措施的基础上,谈对传染病的防治就是今天SOC面对的尴尬问题之一。
