SOC在安全方面的真实价值

 

                           SOC的真实价值

 

当前国内外包括IBM、HP等大安全厂家都宣传能提供SOC解决方案，而且包装得如何如何牛B和智能，可以主动对威胁进行响应，对使用人员的技能要求也低等等，果真是这样吗？在回答这个问题以前，我们先来将网络安全与公共安全做个对比，为什么选与公共安全进行对比啦，基于两点理由考虑：1、危害安全的行为主体都是人，而且过程和模式相似；2、公共安全大家都有所涉及容易说明白。

这里不去提什么犯罪行为学和心理学，那是有关专家搞的事情，下面以进入小区入室盗窃小偷和从外网进入内网盗取用户资料的***过程做一下分析：

场所对比

      小区Vs安全域

      小区围墙Vs防火墙

      小区门Vs端口

      门卫Vs安全认证

      巡逻保安Vs IDS  

      警察  Vs  专业网络服务专家

      私家警察Vs 企业网络安全专家

      业主  Vs  IT系统管理员

事前：

     小偷行为：踩点，观察主人的出行规律，财产状况，安保状况，确定目标，根据安保情况确定实施方案

     ***行为：踩点，分析有价值的系统，扫描端口和漏洞，确定目标，根据漏洞和端口情况确定实施方案

事中：

     小偷行为：

首先，骗过门卫，进入小区。一般来说，很多小区是不会询问进出的人员，除非这个特性太明显或行为异常，即使询问，他们也能轻松应付，能比较容易的进入到小区，这好比我们的防火墙安全域间可以互通一样。

然后，找到目标，根据事先准备的方案进行开锁，是否能成功取决3个方面的因数：

l 开锁工具和技术

l 锁本身的防盗技术

l 是否被人发现

被发现后的情况比较有趣，结果有3个，第一个逃跑，第二个小偷发现发现他的人能力较弱，用工具威胁后仍然完成偷盗，第三种是小偷被擒获。偷盗成功和前两种情况比较容易出现，后一种出现的概率较低，等一下再分析原因。

    

***行为：

首先，***通过防火墙强的配置弱点进入到内网

然后，先前的踩点，找到目录主机，采取密码破解等措施试图进入到目标主机进行，能否成功也取决3个方面的因数：

l 工具和***技术

l 系统本身的漏洞情况

l 是否被人发现

被发现后的情况比较有趣，结果有3个，第一个停止***，第二个管理员水平比较低，莫可奈何，只有断网，关机。第三种是小偷被擒获。前两种情况比较容易出现，后一种出现的概率较低

        对比分析：

为什么请小偷和***情况的比率比较低啦，根本原因是业主和IT管理员的实力不足，对小偷和***构不成威胁，毕竟这应该由专业人员来完成，如果想要解决这些问题，加强安保措施和请私人警察和专业网络安全管理员。

SOC这个过程从是否可以发挥点作用就如同即使监控到小偷非法入室盗窃啦，这个对已知的行为应该还是有微弱的效果，就像家里的报警器一样漏洞百出。说如何能智能防范，主动响应，那都是扯淡。原因在SOC实施的时候IT环境复杂，漏洞多样性或根本就不清楚，导致***行为的多样，不容易写出通用的分析规则出来。就像你发现简单的犯罪比较容易，稍微复杂一点，哪么容易被发现，看看各国的破案率就知道了。

真正还有点用处的是，按照企业规定监控访问、修改关键配置和数据方面有点用处，它可以发现非法访问受保护的数据和对系统配置的修改。

事后：

         业主：

东西丢了这么办，那就报警吧

         警察：

警察干什么，查看现场，寻找指纹，调取监控录像，收集证据，进入历史案件库进行比对，能破案吗，难说。

        IT 管理员

             账号被盗怎么办，那就请网络安全专家

        网络安全专家

             网络安全专家登录防火墙上查看日志，登录相关IT系统上查看日志，登录到IDS查看日志，登录到数据库上查看日志，分析安全漏洞，追踪访问路径，如果***水平比较高，将日志删除掉了，如果没有其他地方有访问记录，这就成了无头公案了。从这个分析来看，为了便于事后调查得有个系统记录日志，这好比指纹，光有这个还不行，还应该将说有的数据量都记录下来，这个好比我们的监控录像。那么SOC中的日志记录功能就有点用处了。有了这些就可以破案了，未必，即使在所有公共场所安装上摄像头也未必能破案，人带面具怎么办？***也可以伪装，破坏现场。

总结

关于公共安全方面，即使有再齐全的取证措施，又有非常牛B的警察，破不了所有的案件

关于SOC方面，SOC的真实价值在于事后能够审计去回溯问题，事中在辅助实施企业安全措施和规定，可以监控到非法访问受保护的数据和非法修改系统配置，还可以为有经验的人提供日志分析工具，仅此而已。个人为认为任何扩大SOC安全作用的行为都是在耍流氓。

关于网络安全方面，当前安全的发展趋势是是有实力的厂家都建立起广泛的网络安全采集器，从海量的数据中，通过人工或依赖一定工具进行威胁分析，并确认威胁，然后更新威胁库，并且将这个库放到网络上，他们的产品自动从网络上去更新这个库，然后取了个洋气的名字曰：云安全、云防火墙、云IPS、云杀毒等等。

我认为安全智能的核心是通过行为分析自动发现并确定未知威胁，并且能够主动消除威胁按照这个定义，所以的网络智能安全方案都是在扯淡。

转载于:https://blog.51cto.com/floatingclouds/1061077