博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2190|回复: 1

如何用好SOC

[复制链接]
发表于 2010-3-18 21:25:59 | 显示全部楼层 |阅读模式
如何用好SOC

如何用好SOC?这是一个很大的话题,要说清楚并非轻而易举。在给出我的回答之前,先看看业界同仁们的心路历程吧。这篇文章——《How to SOC it to the bad guys 》写于2005年3月,应该很早了吧。诸位可以看看当时处于SOC前沿的美国在思考SOC的什么问题。当时,人们正在对第一轮SOC建设的热潮进行理性的反思,SOC发展正处于高潮后的失望期。参见下图,是Gartner在2006年绘制的信息安全Hype Cycle。



当然正如所有真正能够满足用户需求的技术一样,经历这次阵痛之后的SIEM技术及其依托SIEM的SOC越发显示了其生命力。在不断的质疑和反思中,逐步成熟起来。
回到我们的SOC话题,我想,在国内很多人可能还在没有从第一次失望中觉醒(在英文中,Gartner Hype Cycle的第三阶段Through of disillusionment既有幻灭,也有觉醒的意思。两者是关联的。呵呵)过来。所以,我认为有必要再看看这个文章——《How to SOC it to the bad guys 》。当然,如果你不愿意读E文,也可以看看中文翻译的版本——《如何利用SOC来对抗恶意攻击》。
在这篇文章中,针对热潮退去后的人们,提出了很多有益的反思。例如作者提醒SOC的建设们,要避免以下错误:
1)建SOC就是选择一个好产品那么简单吗?产品仅仅就是工具而已。
2)处理好NOC和SOC的关系。这对大型企业尤其重要。在当时,这是争论的焦点之一,以后有机会,我会再将这个历史发展过程为大家做呈现。如今,我想各位也清楚了,我们已经明确提出了网管、安管一体化的理念
3)SOC的组织建设问题,要建立层次化的SOC组织架构。
4)真正适用的平台和软件包。我们需要的不是一个平台,而是一组套件,不要寄希望于一个软件解决全部问题,要充分利用各种工具,包括已有的各种投资。
5)对于投资回报要有清醒的认识。直到2009年,都一直有个声音,SOC不适用于小企业(SIEM: Not for small business, nor the faint of heart》——SIEM:不适合小企业和承受能力低下者RSA2009)。

此外,这篇文章文笔十分亲切,直观地展示出了为什么需要SOC的简单理由——“尽管已经建立了基本的防御措施 —防火墙、杀毒软件、入侵检测系统(IDS),但没有一种方法能够将这些安全工具的警报组合起来并形成网络健康状况的逻辑全景”。“专家认为,SOC的使用在企业中变得越来越普遍,这里面有很多原因,其中最明显的原因是,安全问题已经从基于规则的点状解决方案发展成为更为普遍深入、更为关键的体系,对网络的总体健康起到了至关重要的作用。 ”

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 09:56 , Processed in 0.168786 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表