SOAPA众等，你准备好了吗？

最新推荐文章于 2018-08-31 11:29:34 发布

kenty w

最新推荐文章于 2018-08-31 11:29:34 发布

阅读量1.7k

点赞数

分类专栏：朔方飞絮漫谈安全

本文链接：https://blog.csdn.net/SecSF/article/details/78353512

版权

朔方飞絮漫谈安全专栏收录该内容

9 篇文章 0 订阅

订阅专栏

飞絮赛博朔方

前言

本文将向你介绍什么是SOAPA、为什么是SOAPA、国内的SOAPA应用情况、安全服务如何应用SOAPA。

什么是SOAPA

三分技术，七分管理。网络信息安全要管理好，首先要有好的工具。目前的安全管理产品分为三类：“安全运营和事件响应”、“脆弱性评估与管理”和“治理、风险与合规”。

下面重点介绍“安全运营和事件响应”产品四个层次的分类。

1）日志审计(LA log audit)的数据源是log，主要通过收集、处理、分析和展示；

2）安全信息和事件管理（SIEM security information and event management）数据源除了log，还有flow、dpi、full packet、registry、process等，包括IT资源（网络、系统和应用）产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告；

3）安全运营中心（SOC Security Operations Center）在SIEM基础上增加工作流，不仅包括安全管理平台，还包括流程、组织、场所、人员等等多个方面的内容，但国内说的SOC一般直接指安全运营中心（Security Operations Center）的技术支撑平台。

4）安全运作和分析平台架构（SOAPA security operations and analytics platformarchitecture），是安全协同类产品，这个平台的出现表明安全的协作是个大趋势。这个平台包含类SIEM的功能，但只是SOAPA平台中的某一个组成部分，还包括端点检测/响应工具（EDR）、事故响应平台（IRP）、网络安全分析、 UBA /机器学习、算法漏洞扫描器、安全资产管理、反恶意软件沙箱、威胁情报、蜜罐等等，这些技术设计需要以异步协作作为前提，这样才能让安全工程师迅速通过工具找到数据并根据需要采取行动或系统自动化处理。

为什么是SOAPA

安全情报应用不断地优化着安全运维活动的范围与关注重，SOC平台的发展趋势是尽可能地实现工作自动化，达到快速响应的目的，并增强在人工响应过程中的辅助决策。

此外，云、物联网（IoT）、移动设备和数字转型等新技术发展势头迅猛，这也对网络安全分析和运维产品的可用性、可扩展性和企业级功能提出了新的要求。如事件发送速率（EPS,events per second）从每秒几千有可能提高到每秒百万级。

要想在单一条件下集中所有安全数据是不可能的，必须依赖于一个平台，整合分散的安全数据并进行分析。换句话说，目前很多安全分析技术是在分离状态下开展工作，例如威胁情报、APT检测、日志审计、EDR、恶意软件分析等等。但SOAPA就好比一座桥梁，无需考虑数据的存储位置，而以可视化的形式实现数据之间的连接，从而实现整合化的分析。

为什么是SOAPA？就目前国内外的市场情况来看，很多组织都配有各式各样的安全设备及工具，但最大的问题就是不能对其进行有效地管理。这些组织正从两个方面入手整合通用平台架构：信息风险与防护和SOAPA。

过去十几年大多数组织都通过一种常见的工具来完成安全分析与运维，即SIEM（安全信息和事件管理系统）。SOAPA是安全行业新的创新点之一，以安全架构的形式简化日常安全运维工作，提高工作效率。它不仅涵盖了SIEM系统还包括其它多种安全工具，帮助安全分析师实现跨工具的协同应用。

上图是SOAPA的架构概览，是以SIEM为中心的架构，具有动态化、可扩展性、灵活性、模块化、规模化等特点，也就是说系统中的数据和组件会随着时间的推移而增加。常规的SOAPA可以包含以下组件：

EDR（终端检测与响应工具）
IRPs(事件响应平台）
网络安全分析
UBA（用户行为分析）/机器学习算法
漏洞扫描程序和安全资产管理器
反恶意软件沙箱
威胁情报

SOAPA是网络安全分析与运维领域的创新，以SIEM为中心扩展整合各设备、工具、平台后实理有效的管理。重点关注动态规模化、可扩展性、灵活性、模块化，实现自动化平台的整合。适应云技术、数字化转型应用、移动设备技术等规模化应用。提高网络安全分析与运维中所需收集、处理、分析与存储数据数量的增长率。以可视化的形式、在无需考虑数据存储位置的情况下实现数据之间的连接，完成综合分析。

SOAPA出现与发展的驱动力是什么？为什么都把目光转向了SOAPA？因为当面临网络安全威胁时，团队中缺乏网络安全技能或人才时，通过相互独立、不联动的安全工具往往会在安全运维工作中败下阵来。

SOAPA需要擅长情报处理和系统整合的人才。对用户来说，他们也不再需要其它的安全工具，只需要训练其技术人员掌握系统整合和情报处理的技能，从而优化运维效果、提高工作效率与生产力。安全分析师每天都将精力放在处理单个事件上，但实际情况是他们完全无法追踪每天海量的事件，工作毫无效率可言。每天都在追求许多新的调查，根本跟不上数量。目前很多具有前瞻性思维的组织已经开始采用混合的、即插即用模式，将其中部分或全部功能外包给安全服务提供商。

为什么将安全事件监控外包？目前没有一家厂商的SIEM产品能够提供100%准确的事件警报。在需要安全分析师分析的预警事件中，大约有一半都是误报，所有高危紧急的警报，有一半都是分析师调查的结果。而安全服务提供商恰恰能够增强现有安全分析师的综合实力，而且在过滤和关联安全事件方面，工作效率更高。将监测任务外包也能提升现有安全分析师的工作幸福感，能够让他们将更多的精力放在其它优先事项中。

国内SOAPA应用

国内有一家定位于SOAPA（安全运营与分析平台架构）的安全公司，于2016年4月成立之初即获得如山资本天使轮2000万投资，2017年8月8日宣布完成A轮融资5000万。其构想是在“基于业务，构筑安全”的理念之上，通过与用户业务的深入结合，有效解决了SOC在国内的落地问题。下图是兰云科技的SOAPA架构。

应用SOAPA架构的兰天智能安全平台产品功能示意图如下：

由上图可知，笔者认为目前兰云科技的产品的功能重点还只实现了SOAPA架构的基础部分，后续会重点放在开发平台如何支撑安全运营及安全协作方面。

安全服务应用SOAPA

笔者从事信息安全服务10多年，刚入行时做安装与售后支持McAfee、Symantec、NAI、TrendMicro、Topsec等国内外一线安全产品，再到参考安氏安全服务体系做安全服务咨询工作，中间也接触使用过多个国内外的SIEM或SOC产品，深知这些平台不能发挥作用的原因。

SOAPA是安全行业新的创新点之一，以安全架构的形式简化日常安全运维工作，提高工作效率，是更具扩展性、更具灵活性、更具模块化的架构，可实现更为完整的安全即服务概念。

依据SOAPA理念，我们设计了朔方智能化安全服务平台，主要目标是为一线安全服务人员提供信息安全事件自动化分析处理、智能应急响应、安全专家决策辅助等支撑功能，主要目的是解决信息安全应急响应滞后、一线安全服务人员效率低、专家级安全服务成本过高等安全服务中常见的迫切问题，将信息安全服务做到自动化感知、智能分析、应急响应、辅助决策，提供一站式解决方案。