今天看了一个mini soc,感觉跟国内的soc一样,不过其中的流程部分还是有吸取的地方。

一般的企业与组织不如服务提供商有足够的资金打造美仑美焕的 SOC,但其对安全环境改善需求仍是殷切的,要如何建构一个小而美的 mini-SOC,就是 CIO 或 CSO 所费心思量的。
有别于服务提供商(Service Provider)提供委外(Outsourcing)服务的资通安全防护中心(Security Operation Center-SOC,如图一),本文中所描述的为自建型资通安全防护中心(mini-SOC,如图二),组织因其业务与机密之考虑,不采用委外安全监控服务(Security Monitoring Service),而于组织内建构较小型的mini-SOC以执行组织内安全监控之实务。
为了避免***、计算机病毒等信息安全事件的发生,大部分的企业或组织都已经装有防火墙系统、防毒系统与***侦测系统,但若询问系统或网络的管理人员,他们如何监控来自防火墙和***侦测系统产生的安全事件和警报,您可能会很讶异;他们事实上是无法实时的监控任何的事件和警报!因为安全防护的系统不断产生的事件和警报,数量多到让他们无法处理,每天可能会在系统里记录几百MB到几千MB的安全事件数据,连储存都是一个问题,更谈不上实时的监控和分析。
防火墙+防毒≠安全,***侦测系统+不监控= 0
为了提供一个更好的安全管理办法,一些安全产品供货商开始把他们若干产品的管理操作平台整合为一集中式的安全管理平台。然而,这种类型的安全管理系统是不能够有效确实地管理其它供货商(3rd Party)的安全产品,在企业或组织内同时采用两种品牌的同构型安全设备是很平常的,更不用说同时具备多种异质性安全设备所带给管理人员的困扰。要投资庞大人力与时间,并配合不同厂家的监控分析接口来进行多种异质性安全设备的监控,对企业与管理人员来说,不谛是天方夜谭,也让安全维运成为Mission Impossible。因此,采用能够跨厂家(Vendor Independent)的监控异质安全设备的平台所建构的mini-SOC便成为安全监控实务面最可行的方式,(如图三)
众所周知的,***是一群团结的人士,不吝于分享个人的经验与工具,使得***入门的门坎愈来愈低。相对于***,安全防护人员的交流就显得偏低,无法结合众人之智以达制敌之实,国际间对于此等议题也渐渐重视,开始了国与国间的经验分享,如CERT。但对于企业与组织,如何利用mini-SOC的建置,进一步获得自身以外的有益安全信息,也是信息与安全主管人员关心的事。在台湾,行政院科技顾问组于2002年7月公布「六年国家发展计划」之要点计划﹕ 「数字台湾(e-TAIWAN)」其中「六百万户宽带到家」架构中列有「建置安全的信息通信环境」子计划,子计划下涵盖N-SOC计划,并着重以下项目:
*掌握及处理最新的病毒/蠕虫疫情、弱点及***信息。
*钭对安全威胁信息、事件相关性及未知威胁,进行资料之分析统计。
*提供政府机关监控服务。
经由搜集汇整不同SOC所传递共通格式的安全信息,经过关联性统计分析后,能尽早发现大规模的******行为,适时对政府机关发布警讯以利各机关实时因应。此种机制,对于地区性的安全环境提升,是相当正面的。N-SOC的建置已在进行中,各单位也在SOC的议题中耕耘,将来如何进行SOC间的互连与特定数据分享,未来也将陆续介绍。
mini-SOC虽不像服务提供商建置的资通安全防护中心(SOC)如此大规模与具可看性,却也麻雀虽小五脏俱全,人员(People)、流程 (Processes)与技术(Technologies)是mini-SOC的三要素(如图四),也应充份考虑与信息安全管理系统 (ISMS,Information Security Management System) (如图五)与维运服务面(Operation、Maintenance、Service) 相结合,才能尽全功。
人员面(People)这部份需要相当时间来遴选或培训适任之人才,有些组织则外聘适任之安全顾问与安全分析师,分阶段的进行内部技术转移,不论是内部或外部资源,良好的管理是不二法门。
人员(People)面工作项目
mini-SOC的人员面依其作业特性, 涵盖以下工作︰
*背景调查: 包含了学经历,资历,专业技能,专业证照,语言等项目。
*忠诚查核: 包含其过往经历的道德评价,警政机关的良好纪录证明,周边诱因评估等项目。
*员工保密合约(Non-Disclosure Agreement)的签定
*职位鉴定,任用,升迁与绩效评估。
*教育训练计划。
*人员轮调计划。
*人员委外合约。
组织架构与编制
mini-SOC的组织架构图,人员的编制可依各组织的特别要求而异,例如: 7x24服务等级的人员编制也许是5x8服务等级的2~4倍;另外,编制人员的数量也与被监控的安全设备成正比成长。
IT/Operation 主管
安全支持团队
*安全顾问。
*安全工程师。
非值班人员
*数据库管理员。
*网络管理员。
值班人员
*安全分析师。
行政人员
*市场专员。
*合约专员。
mini-SOC中,人员(People)面的各个元素(Component)
教育训练
mini-SOC中的安全专业人员,除了其本身的资质与安全设备的基础课程之外,唯有透过定期的mini-SOC相关教育训练,来充实并更新其安全新知,增强其安全防护能力 ;针对不同对象的mini-SOC安全成员,也有共通的与不同的培训计划,分述如下:
高阶管理人员培训计划
IT/Operation 经理
*SMS Console
*SMS Security-Event-Collector Configuration Training
*SMS Incident Handling
*SMS Pre-Engagement
*SMS Deployment
*SMS Advance Features
*Data Center equipment training
*Data Center capacity planning
*Man power planning and resource allocation training
*Business Continuity and Disaster Recovery training
安全支持团队培训计划
安全工程师
*SMS Security-Event-Collector Configuration Training
*SMS Pre-Engagement
*SMS Deployment
*SMS Advance Features
*Microsoft MCSE (Win2000 track)
*At least one of the certification mentioned in the matrix above.
安全顾问
*SMS Console
*SMS Security-Event-Collector Configuration Training
*SMS Incident Handling
*SMS Pre-Engagement
*SMS Deployment
*SMS Advance Features
*SMS Pre Sales
*At least one of the certification mentioned in the matrix above.
值班人员培训计划
安全分析师
*SMS Console
*SMS Incident Handling
*Shall have a formal academic training in IT
*At least one of the certification mentioned in the matrix above
非值班人员培训计划
数据库管理员
*Certified Microsoft MCDBA
*SMS data structure training
网络管理员
*Microsoft MCSE forWin2000
*Certified Firewall Administrator according to mini-SOC implementation
*Require at least Cisco CCNA certified
mini-SOC ISMS PDCA教育训练
*Module-1
*信息安全与信息安全管理简介
*信息安全的现实面与应用面
*Risk Assessment介绍与实务
*Module-2
*ISO 17799/BS7799标准的历史与发展
*信息安全的范围界定、环境与其它相关标准
*ISMS标准:ISO17799/BS7799/CNS17800
*ISO17799/BS7799/CNS17800标准的条文架构
*ISO17799/BS7799 Part 1-信息安全标准实务
*信息安全十大要项
*CNS17800/BS7799 Part 2-信息安全认证规范
*Module-3
*ISMS相关工具(Tool Kits)
*ISMS维运(Operation and Maintenance)
*Information Security Manager EXAM
在上期简介了mini-SOC及其与人员面(People)的关系,此次我们将探讨mini-SOC与流程面(Processes)的关系。一提到 Processes,很多人会直接联想到标准作业程序(SOP),接踵而来的是密密麻麻的条文与规定,令人望之却步。其实,mini-SOC的 Processes不是生硬的教条式规范,而是提供mini-SOC相关人员的指导原则,大多以序列式的方块流程图辅以适当的说明,藉由导入每天例行的安全工作,达到mini-SOC预期的产出与效益。一般而言,以ISO17799/BS7799为标准的ISMS是能够涵盖到mini-SOC的流程面,并提供一个持续改善的机制,这适用于已经建置了ISMS的组织,也适用于那些因mini-SOC的建置才开始相关流程规划的组织。换言之,Processes亦即mini-SOC营运与维运面的各项机制,包括了以下机制及程序:
1 安全事件分析与处理作业管理程序
2. 安全事件通报作业管理程序
3. 安全警讯分析与发布机制
4. 信息分析与报表系统
5. 安全事件通报与紧急应变作业机制
6. 灾害复原机制
7. 风险评估与控管机制
8. 内部稽核程序
9. 系统存取与储存控制管理
10. 可携式储存媒体管理
11. 系统维运作业管理
12. 访问管理程序
13. 管理服务阶层协议(SLA)
14. 数据进出控管程序
当然,每个组织因其任务与特性的不同,会在各个机制的实现上有所差异与增减。针对各个机制,分类介绍如下。
信息安全事件相关机制
*安全事件分析与处理作业管理程序
当信息安全事件,如***、病毒、恶意程序、不当存取、服务阻断等状况发生,安全分析员在第一线应对时,必须经由适当的过程,对发现的事件做出处置,以控制可能对组织的危害与风险。一般而言,以下的项目(或阶段)会在程序中涵盖,范例如图一。
1. 事件发生:当组织中的存取控制机制,如Firewall、IDS/IPS/IDP、Anti-Virus、Syslog等,对mini-SOC发出安全事件警讯时,安全分析员会在操控台(Console)于第一时间发现。当此种事件能被鉴识为特定事件时,应于授权内采取反制措施以降低或消除危害。
2. 初步分析:分析同时间在一定的范畴内,是否有相类似的安全事件,做出初步的归纳。
3. 界定错误告警(False Alarm):检视组织内已确定的False Alarm条件,将错误告警归档。
4. 判断事件种类:对于事件做出分类,如:DoS、Trojan Horse、Unauthorized Access Attempt等,并依情况配与或确认严重等级(Severity)。
5. 应对措施:依不同的事件种类,施行适当的应对措施,如Router ACL、Patches、Virus Isolation 和Cleaning等。
6. 事件分析:包含历史事件查询、源头追踪、趋势分析。
7. 告知被***对象:依事件发生经过,通知被***对象及其相关应配合事项。
8.整理事件纪录并更新分析工具数据库,如Co-Relation Rules、Knowledge Database等。
9.通知***源或其服务提供商或其主管单位,要求查证并避免事件再度发生。
10.确认事件解决状况并研拟预防矫正措施。
*安全事件通报作业管理程序
安全分析员在处理安全事件的同时,也要将事件与处理状况反映(或呈报)给其主管或相关单位,一则作为纪录,一则做为外部单位(或人员)提供相关支持时判断的依据,例如政府相关单位即依据国家资通安全通报与应变作业相关规定来运行。
*安全警讯分析与发布机制
当安全分析师值班时,除了监控组织内的安全环境外,也会接收来自外部的安全警讯。或必须主动去参考相关安全的资源。但是,一般性的安全警讯也许不适用于组织内的环境,或仅是部份适用,必须经过分析、归纳、验证甚至翻译,才能以适当的格式发布给组织内适当的成员,做为预防或参考。
在前面连续二期,我们已说明了 mini-SOC及其与人员面 (People) 和流程面 (Processes)的关系,这次,我们将探讨mini-SOC与技术面(Technologies)的关系。
自建型资通安全防护中心(mini-SOC)的核心营运平台可称为Enterprise Security Management System(ESMS),它7x24小时收集和分析来自组织内所有安全设备数万至数十万的安全事故(Security Event)数据,并在错误告警和真正的安全事件告警之间,识别和了解这些安全事故。
ESMS的挑战在于目前并没有如SNMP之于网络管理系统(Network Management System),并没有一个安全设备厂家可以共同遵循的安全事故告警发送标准,因此,ESMS的平台提供商就要有一个有效的机制收集各种不同格式与协议的安全事故, 所以,ESMS也需与mini-SOC的各项营运项目与需求相结合,因此,ESMS具备了几个主要的模块(Modules)来实现各项营运项目与需求。
ESMS的整体架构如附图A。mini-SOC除了ESMS之外,也包含各安全方案的控制系统、各系统之关联图如附图B;接着,我们就依各个系统与模块来说明mini-SOC组成的各技术方案.。
ESMS系统
A.操控接口(Console)模块 可以让安全分析师(Security Analyst)以图型接口(GUI)来执行ESMS内之各项功能,一个整合完整的操控接口能够降低安全分析师的数量与工作量,并降低相关流程的复杂度,其相关的功能为:
1.网页浏览界面( Web Access Interface):能使授权人员依其被授权之范围以 流灠器(browser)进入系统,并使用ESMS流灠器与ESMS间具备安全传输(Secured Transmission)的功能。
2.显示与投射接口(Projection Interface):能够将重要的安全状况,如Top-10安全事故,以简洁明显的方式显示于较大型的显示装置(Display Facility),范例如附图C。
B.数据库(Database)模块 储存所有安全事故和相关信息,同时提供安全分析师正确情报以协助安全事故之处理,其相关的功能为:
1.安全事故数据库:储存组织内收集到之各安全设备产生的安全事故,供进一步分析使用。
2.安全弱点数据库:储存组织内外分析与收集来的潜在弱点。
3.安全事件与通告数据库:储存组织内外收集来的安全事件(Incident)与通报(Notification)纪录。
4.专家系统数据库:储存组织内应对安全事故的各项措施与纪录。
5.数据库多任务(Multiplexing)功能:各数据库能因特性不同以2个(含)以上的实体数据库组成。
6.数据库备份与回存(Backup/Restore)功能。
C.事故收集器(Event Collector)模块 用以收集并处理从各种安全设备发送的事故,其相关的功能如下:
1.厂家(Multi-vendor)支持功能以支持各式安全设备,包含防火墙(Firewall)、***侦测系统(IDS)、防毒(Anti- Virus)系统、服务器、×××、应用系统、数据库、路由器(Router)、交换器(Switch) 等所发出的安全事故与日志(Log)。
2.多协议(Multi-protocol)支持功能以支持各式安全设备送出安全事故与日志(Log)所使用的通信协议,如SMTP、 SNMP、 HTML、OPSEC等。
3.多层次(Multi-tier)连接与串接(Cascading)功能,一方面符合各种不同的建置情况,一方面兼具扩充功能,示意图如附图D。
4.安全传输(Secured Transmission)的功能。
5.远程控管(Remote ntrol)与远程更新(Remote Updating)功能。
6.客制化(Customization)开发接口,使安全人员得以自行开发最新的或自有的解译器(Decoder),以于有效时限内纳管相关安全设备。
7.容错(Fault Tolerance)功能, 在单一事件收集器失效时仍不影响系统运作。
8.事故与日志的单一化(Normalization)格式功能。
9.事故与日志的集中化(Aggregation)功能。
10.关联分析(Correlation)功能。
D.关联(Correlation)模块 用以关联(Correlate)事故收集器所收到的安全事故与日志,其相关的功能如下:
1.规则(Rule)式关联功能:利用多个参数以组成不同的规则,对于已发生的或已列入观察或已知弱点的安全事件进行侦测,归纳与分析。
2.统计(Statistics)式关联功能:可以设定于特定的时间内,若特定的行为发生率超过警戒值时,便通报安全事件或事故。
3.混合(Mixed)式关联功能:能将多个规则式与统计式关联原则串接使用。
4.弹性配置功能:关联模块可单独建置于系统内,也能于事故收集器或操控接口模块内选择性配置,以达分层关联之目地,其示意图如附图E。
E.报表(Report)模块 制作组织内需要的统计报表、包含事件统计、事件分析、安全设备事件分布等。
F.客户关系管理(CRM)模块 提供与组织内各部门相关人员与其安全设之对应数据,以利安全监控人员处理与通报安全事件时使用,并具备Trouble Ticket功能。
G.安全资产管理(Security Asset Management)模块 提供与组织内各部门相关安全设备资料与特性,以利安全监控人员处理与通报安全事件时使用。
H.弱点扫描(Vulnerability Scan)模块 藉以不定期发现组织内潜在的安全弱点并储存于安全弱点数据库。
I.信息收集(Information Collector)模块 具备收集外部的安全相关信息的接口并储存于安全事件与通告数据库。
J.安全通报与发布(Notification)模块 藉以向上通报与向下发布相关的安全事件与安全信息。
K.特定格式(Specific Data Format)传送模块 可将特定的安全事件与数据以特定的格式传送予特定单位,示意图如附图F。
L.应对措施(Counter Measure)模块 在授权范围内,安全分析师得以执行阻断(Blocking)或避免(Prevention)措施。
M.通讯整合接口(Communication Integration Interface)模块 可利用此模块将指定的安全事件以email、简讯、呼叫器、传真与电话方式传送或告知负责的安全人员。
安全方案控制(Control)系统
组织内各安全方案,如防火墙(Firewall),***侦测系统(IDS)、防毒(Anti-Virus)系统等、均有其专属控制系统以设定或更新对应设备的相关设定,有些控制系统并提供ESMS安全事故或日志,各控制系统本身也应被ESMS监控,示意图如附图G。
信息安全管理系统(ISMS)
若mini-SOC单独建置其ISMS,则相关的系统文件或工具也将保存或设置于mini-SOC的指定安全作业区内。
物理(Physical)安全设施监控系统
架构mini-SOC的各项实体建设,如门禁控管系统、烟雾侦测系统、防侵入系统、电源系统、温湿度系统等,均可将其系统的告警发布于指定的监控系统以利统一监控。
网络管理系统(Network Management System)
对于尚未建立或有效利用网络管理系统(NMS)的组织,可以将第一至三层的网络设备纳管于网络管理系统,并利用NMS与ESMS的链接来进一步控管网络安全。
完整性(Integrity)监控(Monitoring)与复原(Recovery)系统-IMR
针对组织的各个网站(Websites)与mini-SOC内的各个数据库,可建置IMR系统,以实时监控重要目录与数据库的完整性,以防止***者或未授权者不当修改,若经不当的置换(Deface)或篡改(Modification),IMR系统也具备回复原始数据的能力。
由技术面来审视mini-SOC,可以发现之前所提出的流程都对应到ESMS系统的各模块或mini-SOC内各功能性系统,换言之,一个完整的 mini-SOC技术方案是能将流程面的复杂性降低,提高可行性,进而增进安全分析师的工作效率,并降低所需的安全分析师值班人员数量,最终的结果便是降低mini-SOC营运成本。