三论SOC的起源
三论SOC的起源The Origin of SOC
作者:Bennyye2001@126.com
Last Modified:2010-3-18
【摘要】本文通过分析1998~2001年间国际上Managed Security Service的发展初始阶段的事件,探讨了Security Operations Center的起源,表明SOC的发展存在着服务和产品两条路径。同时,简要叙述了2004及以前的中国SOC市场的历史发展情况。
This blog bring us to find the origin of Security Operations Center (SOC) through the analysis of the news and facts of Managed Security Service (MSS) market during 1998-2001. This blog also list some web messages of Chinese SOC market before 2004. The blog shows that the SOC have two development ways, one for security services, the other for security product.
引子
在2003~2005年间,国内SOC概念正火的阶段。但是,国内主流的安全厂商从安全产品和安全服务发展的角度出发,开展了一场SOC运动。
作为大家对SOC的一次重要交流,在2004年的XFOCUS论坛上,业界同仁发起了一次“探究SOC起源”、“再论SOC起源”、“乱弹SOC”等一系列讨论,带大家去寻找最早的SOC来自哪里?并就SOC到底是产品还是服务进行了深入探讨,还针对当时国内主要的SOC厂商的情况进行了交流。那个时代,我也有幸做为一名SOC的从业人员,参与国内SOC建设大潮之中。2004年的时候,我主要承担SOC系统的研发工作,利用我们的核心管理平台架构搭建SOC。那个时候,研发都是藏在后面的,经常冒头的都是安全服务的同事们居多,他们中一部分人对SOC侃侃而谈,把SOC看作安全服务、MSS的未来,当然也有人不看好SOC。
如今,我已然不是研发人员了,成了咱们SOC的布道者(evangelist),因此也就冒个头,吐个泡泡,在参照前人成果的基础上,再次为大家探究一下SOC的起源。
先提一下,在2010年代,去翻寻2000年以前的东西,不是很容易的一件事情,很多资料都是以文字期刊的形式流传下来的,Google也不过1997成立,而网络安全业界的前辈们有的从1994年开始创业了。不过,幸好互联网是强大的,借助Google和期刊电子检索,还能寻找到一些蛛丝马迹。
SOC的发展之初,就是有服务和产品两个轨迹的。
关于ISS的SOC
在“探究SOC起源”中,参与者们基本都向ISS致敬。的确,ISS是网络安全的先驱。这个成立于1994年的公司,拥有一个天才的创始人、CTO——Christopher Klaus。来自佐治亚理工的他最早从事反黑客的共享软件开发。在1998年,互联网泡沫破裂之前,他的公司在Nasdaq上市了。首日收市,他的身价过亿美元,那一年,他才24岁。那时的ISS主要从事网络安全弱点分析和入侵检测产品的研发。
大约在1998~1999年间,ISS和其他前驱们提出了MSS的概念,并付诸实践。在1999年8月,ISS收购了当时最大的独立安全服务提供商——Netrex Secure Solutions公司,从而建立了一个端到端的SAFEsuite(R)安全管理平台,为客户提供MSS。
而关于ISS建立的SOC的最早能够查到的新闻是2000年12月11日,ISS宣布在瑞典的赫尔辛基成立其第4个SOC中心,作为对其在亚特兰大、密歇根的萨斯菲尔德和里约热内卢(?待考)的SOC中心的补充。
2001年6月5日,ISS宣布在亚特兰大启用新的Global Threat Operations Center,以及在日本东京成立负责亚太的SOC。
由于ISS已经在2006年8月被IBM收购,因而这些新闻都比较难于查询到。
要知道,说ISS的SOC,都是说成立SOC,不是说开发出了SOC,也就是说他们都是自建SOC,用于MSS运营之用。
关于Symantec的SOC
在互联网兴起之前,他就很有名了,在我读大学的时候,就用它的Norton,PC TOOLS(都是买来的),当时他主要是做单机版的杀毒软件,这个市场太大了,以至于一下子发达起来。后来,互联网起来了,这时的symantec作为当时业界的大佬自然也不愿意错过这个机会,涉足互联网安全。
在2001年,新闻报道称Symantec在圣安东尼奥启用了最新的SOC,同时Replacing the existing San Antonio facility, Symantec's newest Security Operations Center, joins the security operations center in Epsom, England, in providing Symantec Security Services' rapidly growing, global client base with 24x7x365 outsourced security management, monitoring, and response. Built to meet increasing customer demand, Symantec expects to hire up to 140 specialized staff from the Texas area to bring the new facility to capacity.由于Symantec至今犹存,因而可以网上直接查到,看这里。
更多Symantec的SOC可以看这里。
很显然,Symantec的SOC也是自建的,用于对外提供MSS。
关于Counterpane的SOC
Counterpane,成立于1990年,创始人,CTO是大名鼎鼎的Bruce Schneier。在2000年的时候,有一篇关于Counterpane位于弗吉尼亚的SOC采访报道。
Counterpane是MSM(Managed security Monitoring)的先驱。在早期的MSS服务项目中,MSM是最需要后端SOC支撑的。This is the day-to-day monitoring and interpretation of important system events throughout the network, including unauthorized behavior, malicious hacks and denials of service (DoS), anomalies and trend analysis. It is the first step in an incident response process. Counterpane’s customers rely on Counterpane to monitor events not only at the network boundary, but also on application servers and network devices distributed throughout the corporate network.
其他公司的SOC: NetSec、CheckPoint、WatchGuard、GuardedNet、 Cyber Security
在1998年底,以色列的CheckPoint公司推出了Check Point Provider-1,作为对其防火墙/VPN产品的集中管理平台,并可以提供给MSSP去管理多个客户的防火墙之用。这应该是最早的集中安全管理平台了吧。
在1999年,WatchGuard在公司成立3年后也开始涉足MSS领域,并与WebTrends合作面向MSSP推出了针对防火墙/VPN的状态监测和日志分析报表系统。WatchGuard包装了一套MSS平台,想推销给ISP,让ISP更好的从事MSS。可以说,这算是WatchGuard的SOC平台了。这个平台包括一个集中化的基于NOC的管理软件(centralized NOC-based management software)、一组配套的安全软件、他们公司的防火墙设备、以及称作LiveSecurity的在线通告服务系统。这也算是最早的SOC软件系统了吧。
1999年8月25日,Network Security Technologies, Inc.(NSTI,也就是我们后来常说的NetSec,还记得我在这个博文提到的故事吗?没错,他2005年被MCI电信收购了)推出了他们号称达到军方水准监控系统——NSOC(Network Security Operations Center)。With the operations center, NSTI's team of trained security professionals offer 24x7 real-time monitoring to protect corporate-information assets from external and internal threats.没错,NetSec是由三名前NSA(美国国家安全局)雇员组建的。在9月14日,NetSec又宣布其NSOC可以为ISP使用,成为他们的平台。此举表明,他们不仅自建了SOC,还希望把他们的NSOC包装成产品(方案),卖给ISP们去做MSS。
2001年10月份,GuardedNet把ISS的一个创始人挖了过来,专门负责其SOC。而GuardedNet的SOC产品从此neuSecure名噪一时。后来,GuardedNet为IBM曲线收编,成了Tivoli Security Operations Manager。
此外,在那个时代,还有很多初创的互联网安全服务公司,尤其是在1999年互联网泡沫破裂之前,随着互联网神话的膨胀,ISP的壮大,互联网安全问题的日益突出,出现了很多以MSS为理念的公司。例如Cyber Security,也在1999年前后在美国的Chantilly建立了自己的SOC,提供24x7x365的安全外包服务。
小结
通过上面对1998~2001年国外SOC发展的大致情况,我们可以了解,SOC发展一直都是作为服务(中心)和产品(平台)两个维度来发展的。SOC的提出首先来源于安全服务提供商,他们首先提出了可管理安全服务(MSS)概念。SOC最初的发展是与MSS紧密联系的。
而MSS为什么兴起?又与互联网的兴起密切相关。正式由于互联网的兴起,之前的网络安全问题被极大的放大了,因而传统的网络安全厂商(例如防火墙、入侵检测产品厂商)开始关注互联网背景下的网络安全问题。因此,他们很自然的就得出了做MSS的结论。此外,借助互联网的模式,服务模式和商业模式可以进行创新,也促使了MSS的产生。
因此,做MSS的先驱要么是传统的网络安全设备厂商,要么是那个时候成立的纯MSS提供商,要么就是在当时无所不能的ISP们。这里有一个对2001年的MSS市场的分析报告。
话说回来,有了MSS的概念,如何落实?大家开始提出了SOC的概念。至于为什么叫SOC,不叫别的,那是因为之前有NOC(Network Operations Center)之说,并且,传统的ISP借助NOC开展了很多网络增值服务,模式与MSS类似。所以,那些专注于MSS的厂商自然就提出了SOC的名词,跟NOC相呼应。
基于不同公司发展MSS的策略,有的人自建SOC,基于SOC提供服务,为了自己做MSS,成为MSSP;还有的人开发SOC系统,为的是卖给那些想做MSS的人,尤其是ISP们,现在叫MSSP。
因此,不存在SOC是服务还是系统(产品)的问题,就看您自己采取何种策略去发展了。当然,那时候的SOC服务和产品是围绕MSS运营展开的,而我们现在提到的SOC产品则一般又将产品与运营之间的关系裁剪掉了。所以,现在的SOC现状可以这么表述:
1) SOC可以用于建立MSS运营平台,成为MSS的基础,这个SOC是一个中心,有固定的场所,有一个SOC技术支撑平台,有组织人员,有一套运营的流程,为第三方提供安全管理服务。
2) SOC可以用于建立企业和组织的安全运营中心。这个中心首先要有一套SOC平台,然后借助这个平台,企业和组织进行安全运维。如果仅仅购买一个平台,而不考虑运维,就像买了一把扫帚而不用,房间是不会自己干净起来的。
这里,SOC平台,或者说SOC技术支撑平台,就是SOC软件系统。他很重要,以至于可以单独采购,去向那些做SOC平台的厂商们采购,当然也可以自己开发。因而,SOC产品的存在是有道理的。只是说,要搞SOC,买了平台还不够,还需要相关的配套。
国内的一些早期(2004年及以前)情况
不像国外,国内SOC相关的公开资料极少。这与国内整个软件产业(不仅是安全)有关。好东西总是要藏着的。我们在做一些努力,可以在我们的官方网站上看到,我们的SOC介绍材料公开程度相对来讲是最大最多的,虽然连我自己也觉得还不过瘾。
因此,我知道我所知道的,而其他信息就要靠其他人爆料。不过幸好,在2004年底“探究SOC起源”的帖子中,国内最早从事SOC的安氏的先驱们自己说话了。他们说了不少在2004年及其以前的情况。
根据网上的资料,可以知道一些大致的情况(本人不担保正确性):
在2000年底到2001年初安氏做过一个安全管理平台的项目,后来停掉了,没成。这时的安管平台与SOC无关,SOC是跟MSS联系在一起说的,也是受到了ISS的影响。
2002年底,安氏开始借助eSecurity做SOC产品,逐步形成了国内最高的关于SOC功能组成的规格定义,大部分功能规格至今沿用。在架构方面则没有太多特色,主要是集成,围绕eSecurity做开发。
2003年,安氏开始推销自己的SOC,主攻运营商。第一单自然是小白鼠,安氏的SOC在实践中不断总结提高,发展至今。
也是2003年,安氏的安服团队开始在国内开枝散叶,包括来到了联想的安服。他们想做SOC,但是由于只有安服,没有开发能力,因而找到了联想研究院。而联想研究院的我们又正在拿着管理平台架构的技术苦于没有funding,双方一拍即合,开始了SOC之旅。我们的SOC一开始也不行,尤其功能组成方面,落后于安氏,但是我们最大的优势在于有个好架构。为了尽快赢得客户,我们也两条腿走路,开始找国外的产品,并选择了与ArcSight合作。不过,我们的自研架构一直保留并发展了下来,加上我们自己对SOC功能规格的理解,成了我们今天的样子。
2004年,我们的SOC主要是做方案,做些项目,比较低调。
在2004之前,我们做的是“集中安全管理系统”,类似SIEM/ESM,跟SOC没太大关系,主要是对安全设备进行集中管理和日志审计。我们在2002年做了第一代集中安全管理系统,代号Range-1。
由于联想的那次重大变动及其系列变革,我们的SOC团队先是在2005年参与组建了网诺公司,后来又加入了网御神州。
启明星辰早在2000年就提出构建网络安全资源管理平台的概念,并于2001年在开发相应的产品,但是没有进展。
后来,在2004年,启明星辰启动了Project C计划,借助Open Service的产品进行SIEM模块的开发,并采用与安氏类似的功能组成规格开发SOC系统。启明星辰的SOC整体架子在那个阶段成型,并延续至今。
2003年,绿盟推出了自己的SOC——ESP(Enterprise Security Plan),就像ERP,我觉得这个比喻还是比较恰当的。特别指出一下,绿盟ESP的功能规格与安氏有较大不同,有自己的想法。不过,最后也废了。现在,绿盟已经不做SOC了。
天融信在2003年左右也在做安全管理平台。2004年推出了一个很简单的类似网管的TopSec Manager,还有一款日志审计产品,也提出了一些SOC的方案。他们主要的动作在2005年,这是后话。
中软在2004年也提出了集中安全管理平台Global Security Management Center (GSMCenter),后来不了了之。
结论
可以看出来,国内SOC的历程也是服务与产品交织的。做服务出身的,更喜欢把SOC做成MSS,做成服务,但由于市场原因,总是难以实现抱负。而做产品出身的,则愿意把SOC做成产品。两条路都没有什么本质的区别,对SOC的认识是殊途同归。关键在于做SOC的公司的战略了。
最后,文章没有提及2001年之后的国外SOC市场,这个时期的SOC产品(SIEM/ESM)我在文章《安全集中管理系统调研报告》中有专门分析;这个时期的SOC/MSS发展动向,我想未来专门论述MSS历史的时候再补充。对于国内在2005年之后的发展,我想过几年再论述也不迟。
页:
[1]