SOC+安全運營白皮書

以威脅情報和攻防對抗為原子能力，聚焦安全運營的未來式>>>報告顧問方斌楊光夫洪春華劉桂澤孫亞東傅偉鑌黃羽程碧淳陳沅琳王未來李國民劉玲陶夏激齊恒李晨東黃超鄭劍鋒程文杰徐展陳龍潘佳旭方正華許志雄周穎李誠歡迎!毒、挖礦木馬、APT攻擊等威脅層出不窮，安全形勢日益嚴峻。許多政企機構雖部署了較為完備的基礎安全產品，但防御體系仍以異構設備堆疊式為主，各設備相互割裂、難以深度協(xié)同，缺乏全局數據的可見性和主動防御能力。面對指數級增長的威脅和告警，傳統(tǒng)的安全防御往往力不從心。政企機構亟需一款成熟“SOC+安全運營體系”是騰訊安全面向產業(yè)數字化轉型推出的新理念，強調以威脅情報運營和攻防對抗為基礎，構建起“情報-攻防-服務-生態(tài)”的閉環(huán)安全運營體系。目前，騰訊服務四大產品矩陣，可支撐政企機構建立起技術、人員、流程一體化的安全運營體系，全面提升安全防護能力和安全運營效率。未來，騰訊安全將依托威脅情報云將騰訊20多年攻防實戰(zhàn)經驗、業(yè)內頂尖安全實驗室的安全能力、算法算力平臺的安全大數據和Al技術，持續(xù)賦能并完善騰訊SOC+安全運營體系，為產業(yè)數字化升級保駕護航。目錄 011.SIEM打造安全工具階段 071.合規(guī)驅動 (三)騰訊SOC+安全運營體系優(yōu)勢 (二)SOC聚焦威脅檢測與事件響應 (四)MDR構建最佳的安全運營效果 (一)SOC相關整體標準 (三)SOC標準演進趨勢 六、SOC成熟度模型 (二)SOC成熟度模型實踐 62八、騰訊SOC+實踐 65 73 (六)安全服務托管MSSP平臺 01安全運營產業(yè)發(fā)展歷史01SIEM打造安全工具階段分析可以以較低成本實現(xiàn)，這為態(tài)分析可以以較低成本實現(xiàn)，這為態(tài)勢感知提供了大量技術支撐，大量態(tài)勢感知融合發(fā)展階段態(tài)勢感知的概念最早主要是由SIEM產品承載，定位于安全日志的統(tǒng)一收集、安全事件分析和審計。態(tài)勢感知覆蓋感知、理解和預測三個層次，隨著計算機網絡的發(fā)展又提出了“網絡態(tài)勢感知(CyberspaceSituationAwareness,CSA)”,即在模網絡環(huán)境中對引起網絡態(tài)勢發(fā)生變化的要素進行獲取、理解、展示以及對發(fā)展趨勢進行預測，從而幫助決策和行動。2016年以后，受益于國家戰(zhàn)略層面的重視，態(tài)勢感知進入蓬勃發(fā)展期。這其中攻防實戰(zhàn)需求和大數據技術能力成為態(tài)勢感知成功落地的底層驅動力：檢測等技術已經不能滿足復雜的安目前，態(tài)勢感知應用整體來看主要有足等保2.0和行業(yè)監(jiān)管的要求。統(tǒng)一采集、分析和存儲安全日志，用于監(jiān)控、審計、統(tǒng)計分析、態(tài)勢展示和指揮通報等。另一類是滿足業(yè)務發(fā)展的安全需求。側重于安全運營效果和效率的提升，如高級威等。往往需要采用多產品融合戰(zhàn)略，最大化降低集成的復雜度，以運營體系應對安全威脅。業(yè)務云化業(yè)務云化一體化實戰(zhàn)化一、企業(yè)安全運營行業(yè)發(fā)展特征THEFIRSTPART現(xiàn)代SOC創(chuàng)新發(fā)展階段現(xiàn)代現(xiàn)代SOC作為云端和服務工具化能力更加受關注 威脅情報整合將成為現(xiàn)代SOC的重要組成部分使用安全編排、自動化響應工具，將大大縮短分析和響應時間不同部門之間的協(xié)同作用企業(yè)加大對數據價值的挖掘和分析。例如大量企業(yè)通過數據進行用戶畫像分析、精企業(yè)加大對數據價值的挖掘和分析。例如大量企業(yè)通過數據進行用戶畫像分析、精要求對數據的使用要遵守相 、企業(yè)安全運營行業(yè)發(fā)展特征THEFIRST調研單位安全運營中心運營時間調研單位安全運營中心運營時間無2020年2019年在業(yè)務安全風險方面在業(yè)務安全風險方面在建立預警機制方面在安全應急響應方面在安全應急響應方面在增強安全防護方面在增強安全防護方面……………………美國政府機構部署了全球最早的計算機網絡，安全運營中心也在這里誕生。早在上世紀90年代，美國率先開展了態(tài)勢感知系統(tǒng)的建設工作。1999年，TimBass提出了態(tài)勢感知的概念，并將該技術應用于多個網絡入侵檢測系統(tǒng)。2012年美國啟動“X計劃”,構建一種實時、大規(guī)模的動態(tài)網絡環(huán)境，從中了解、規(guī)劃和管理網絡空間的活動。 2.美國安全運營特征與演變0∠美國政府啟動愛因斯坦計劃，建設大規(guī)模信息安全監(jiān)控系統(tǒng)，自動收集、關聯(lián)分析和共享政府機構間的安全信息，快速感知和應對網絡安全威脅，增強了美國政府對網絡空間態(tài)勢感知能力和網絡安全防御能力。美國支付卡行業(yè)率先成立了PCI委員會，要求供應商遵守安全和數據保護標準。計算機事件響應小組正式制定了危機管理程序，并將重點放在早期發(fā)現(xiàn)能力上。同時，美國實施新的泄露告知法，企業(yè)和組織的安全項目開始增加，重大數據泄露開始向公眾披露。美國提出可信互聯(lián)網連接計劃，目標是將聯(lián)邦政府8000個網絡出口歸并為50個左右。出口整合后，便于進行安全設備統(tǒng)一部署，監(jiān)控和防護也能做到一體化。隨著進展的深入，美國發(fā)現(xiàn)政府基層的辦事處很難覆蓋完全，又提出了可管理的可信互聯(lián)網協(xié)議服務?；鶎拥霓k事處可通過運營商提供的NBIP-VPN,連接到可信互聯(lián)網協(xié)議服務的網絡中，從而完成可信互聯(lián)網連接的《聯(lián)邦信息安全管理必要的、實時的且反的動態(tài)系統(tǒng)。希望從,動態(tài)管理企業(yè)的風等一個靜態(tài)安全控制變換成一個可以提供以前只能通過手動審。要求各機構持續(xù)監(jiān)漏洞或其它風險點，安全運營的核心即解決問題，通過提出安美國咨詢機構Ponemon發(fā)布針對SOC的調研結果顯示，大多數公司將SOC視為其網絡安全策略的關鍵要素，尤其是在最大程度減少誤報，以及報告威脅情報信息方安全策略至關重要(31%)或非常重要(42%)。77%的人表示SOC分析師培訓“非常一、企業(yè)安全運營行業(yè)發(fā)展特征研院所和商業(yè)公司共同研發(fā)面向大型服務的新一代SIEM架構，通過智能(中心將參考美國國土安全部的系統(tǒng)經驗，對涉及日本國家安全的道路交日本方面方面 04安全人才短缺，運營效果難保障安全人才短缺與網絡安全事件層出不窮的矛盾不人才短缺現(xiàn)象正在逐步擴大。另一方面安全團隊在成本與效益方面難以量化平衡，安全風險沒有暴露前無法客觀體現(xiàn)工作價值，導致企業(yè)在沒有合規(guī)壓力和安缺乏專業(yè)人員，以及先進技術平臺支撐，企業(yè)在安全運營體系建設過程中，流程制度的建立往往是“事件工作有效性和時效性的指標，安全運營體系建設如同“50C+安全運營體系”01“SOC+”三大進階理念 三、“SOC+安全運營體系”構建安全防護新理念THETHIRDPART>>>50C+安全運營體系騰訊安全集成化效率提升能力進階能力進階騰訊“SOC+安全運營體系”支持更多企業(yè)從“安全建設”向“安全運營”轉變，由“滿足合規(guī)要求”導向“提升安全能力”,從被動式防御過渡到“原生式”主動安全建設，最終邁進具備成熟、智能、可持續(xù)的安全“進階優(yōu)化”階段，不斷提升高階安全防護、安全運營能力。三、“SOC+安全運營體系”構建安全防護新理念THETHIRDPART”原子力原子力產品力>>50C+安全運營全景三、"SOC+安全運營體系"構建安全防護新理念THE 騰訊SOC+安全運營體系優(yōu)勢威脅情報云打造一站式威脅情報云打造一站式TIX威脅情報中心智能化平臺化SOC能力多技術融合提升NDR能力MDR構建標準化生態(tài)服務業(yè)需要在數字原生時代構建新的安全運營模式，支撐企業(yè)建立現(xiàn)代化安全運營體于通知主體針對相關威脅或危險采取某種響應。四、SOC+安全運營體系四大進階價值THEFOURTHPART豐富的情報數據源強大的威脅情報云情報云端安全能力協(xié)同情報應用多樣化情報的商業(yè)化價值 基礎情報-機讀情報/查詢社區(qū)用戶資產P 機管家等市場份額超過40%的C端產品的惡 應用場景：辦公網/生產網失陷檢測場景：辦公網/生產網失陷檢測場景：賦能生態(tài)場景自建威脅情報中心場景事前風險預防場景 四、SOC+安全運營體系四大進階價值SOC聚焦威脅檢測與事件響應SOC采用集中管理方式，統(tǒng)一管理企業(yè)ITSOC產品目標是支撐客戶在多云混合云架構下，日常運營和攻防對抗場景下，統(tǒng)集成安全專家經驗和AI能力集成安全專家經驗和AI能力 集成安全專家集成安全專家適應數字化處理能力適應數字化轉型需要具備權威的威脅運營安全的評價體系供數據遙測、安全檢測、威脅狩獵、調查分析、聯(lián)動響應、安全可視等威脅閉環(huán)運營能騰訊50C功能架構圖騰訊50C功能架構圖預測防御|聚焦TDIRTDIRTDIR示意圖<100/天事件/日志海量大數據分析和處理能力完備的安全評價體系ATT&CK集成專家經驗+AI實現(xiàn)自動調查和響應應用場景：多云/混合云/多租戶統(tǒng)一安全運營日常運營、等保合規(guī)場景實戰(zhàn)攻防、安全態(tài)勢感知內部威脅與違規(guī)大型集團、組織多級平臺級聯(lián)監(jiān)管 實時更新安全能力高級持續(xù)性威脅、未知威脅發(fā)現(xiàn)能力實現(xiàn)網絡層自動化響應閉環(huán)支持事件歸并、分析、取證支持互聯(lián)網側及內網側的流量威脅檢測覆蓋混合云等多種場景幫助發(fā)現(xiàn)業(yè)務相關的安全風險 >>>騰訊TDR網絡威脅檢測與響應產品結構圖騰訊安全威脅檢測soc深度分析 產品與威脅情報聯(lián)合應用API查詢高級威脅行為及時報警2全網信息收集23精準定位失陷行為圖7提升NDR與威脅情報聯(lián)動效果 應用場景：攻防演練、重保場景攻防演練、重保場景云上/云下/混合云全網流量檢測與響應云上/云下/混合云全網流量檢測與響應勒索病毒、挖礦木馬防護勒索病毒、挖礦木馬防護 MDR構建最佳的安全運營效果強大的工具為服務支撐>>>強大的工具為服務支撐>>>2云端能力提供服務支持>>>03可廣泛覆蓋的服務范圍>>>效果可量化的服務內容>>> 云端能力賦能強大的安全工具云端能力賦能完善的服務生態(tài)交鑰匙方式的標準化的服務包伴),建立起覆蓋全國范圍的服工作流程調研、確認三線技術專家三線技術專家培訓賦能騰訊安全運營服務(MDR)標準化服務包可以作為訂閱式的服務，提供以下 四、SOC+安全運營體系四大進階價值THEFOURTHPART◎◎日常運營安全策略優(yōu)化服務提供日常運營期間安全日志對接、安全事件分級分類、場景化威脅建模、自動化聯(lián)動處置等安全策略持續(xù)優(yōu)化，根據客戶實際情況建立安全運營評價體系，通過安全運營報告量化呈現(xiàn)安全運營效果改進安全運營指標(如：MTTR、MTTD),從而提升客戶安全運營成熟度?；谕{檢測和資產脆弱性的安全風險評估框架，及時預測、發(fā)現(xiàn)安全威脅，將安全威脅以安全風險分析報告的形式直觀的呈現(xiàn)給客戶，針對發(fā)現(xiàn)的安全威脅給出具體的處置建議并協(xié)助客戶閉環(huán)處置，對已知威脅和未知威脅的進行有效的管理。提升安全運營成熱度圖9SOC+產品配套標準化服務落地安全運營效果圖THEFIFTHPART五、SOC標準加快應01SOC相關整體標準平臺能力建設人員能力建設 五、SOC標準加快應用落地THEFIFTHPART02重點領域標準制定情況整體態(tài)勢展示專題態(tài)勢展示監(jiān)測告警安全預警態(tài)勢報告數據處理規(guī)劃管理金態(tài)勢展示數據交換接口數據分析接口聯(lián)動處置接口資產管理金數據共享數據采集數據預處理網絡攻擊分析資產風險分析威脅信息管理數據存儲異常行為分析安全事件分析影響網絡安全態(tài)勢資源管理策略管理數據分析模型管理安全事件管理應急處置安全決策標準加快應用落地 基于SOC的安全運營模式仍在不斷發(fā)展演變中，企業(yè)關心如何評估自身安全正在施行的安全運營模式是否高效、安全、可靠。國內外關于SOC的建設也缺少評判依據，需要建立成熟度模型來判斷其發(fā)展程度。因此，大量企業(yè)都迫切希望能夠有更加科學的方法來評估自身SOC安全運營模式的成熟度，幫助企業(yè)更清楚地定位自身在后疫情時代安全領域的發(fā)展水平，以及持續(xù)發(fā)展和優(yōu)化的方向。若需要深刻理解和評判企業(yè)SOC安全運營模式成熟度，不僅需要安全的視角，也需要業(yè)務的視角，來共同解構SOC。為此，我們認為SOC成熟度模L5L5成熟階段具備安全運營自動化、智能化，實現(xiàn)自適L3運行階段以安全的能力建設和標準化L2基礎階段滿足安全的規(guī)劃建設與L1初始階段企業(yè)部署了基本的安全L4體系階段實現(xiàn)安全體系化建設和級別在初始建設階段，安全建設以預防為主，具有防火墻、防病毒系統(tǒng)運維能力。但是資產不清晰、缺少漏洞管理機制，對整體安全威脅不可見，沒有事件響應處置流程，同時缺乏頂層設計和運維團隊，沒有和業(yè)務進行融合。安全建設以合規(guī)為主，具備安全監(jiān)控人員，有資產管理動作及漏洞管理認知，對安全威脅有一定可見性，基本滿足安全合規(guī)要求，但不具備與威脅事件深入分析的能力，沒有建立成熟的事件響應流程和機制，同時缺乏頂層設計，沒有和業(yè)務進行融合。安全運營團隊各崗位職責明確，資產管理及漏洞管理已形成常態(tài)化流程與機制，具備威脅監(jiān)測、分析及事件處置能力，對整體安全威脅態(tài)勢可見，有成熟的事件響應流程，具備初步的量化管理能力。但缺乏頂層設計，沒有和業(yè)務進行深度融合。具有安全事件響應中心或安全運營中心等安全運營常態(tài)組織，運營團隊各崗位之間緊密配合，資產、漏洞等基礎工作扎實有效，能夠高效地開展監(jiān)測、響應、處置、調查取證分析工作，能夠積極主動挖掘威脅情報，能夠應對高級別的安全攻擊(APT等),具有完善人員培養(yǎng)和量化考核機制，安全運營流程完善，部門間協(xié)同效率高。成熟階段具備頂層的安全戰(zhàn)略規(guī)劃和設計，在公司內部達成共識。除了“體系階段”安全能力外，能夠有機協(xié)同安全團隊和業(yè)務部門自動化、智能化和自適應應對高級威脅，最大化減少人工參與、提升效率。還具備網絡取證分析和威脅情報收集能力，能夠發(fā)現(xiàn)未知威脅，能夠使用自動化工具或手段開展7x24小時安全監(jiān)測、事件響應處置工作，能夠應對高級安全威脅(APT)。安全運營工作有全面的可量化指標，高效有序。戰(zhàn)略規(guī)劃運營維護公司發(fā)展的重要組成部分，制定相關的公司發(fā)展路線，設計相關的公司架構，并有效地將安全運營對于公司的重要性和定位傳達給公司公司業(yè)務及SOC安全運營體系相關的方針與底層支持緊密配合，使得公司的所有業(yè)務能夠在SOC安全運營保障下順暢持續(xù)進行，且員工理解SOC安全運營的理念、重要性與相關的操作合規(guī)管理合規(guī)管理行業(yè)政策規(guī)范要求是企業(yè)開展安全能力建設的關的一整套規(guī)章制度，以確?；旌限k公安全的公司配備SOC安全運營體系所需的專門技術開 六、SOC成熟度模型THESIXTHPART戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃√√成熟階段安全技術體系安全技術體系體系安全運營122-2.99基礎階段：滿足安全和規(guī)劃建設與維護345成熟階段：具備完善的安全運營能力及技術和管理探索 我們以一家金融機構A為例，運用SOC安全成熟度模型進行評估。金融機構A目前有2000名員工，8個業(yè)務部門和3個職能部門，企業(yè)對安全工作較為重視。2022年，金融機構A開始打造SOC安全運營體系，并將SOC安全運營體系工作上升該企業(yè)有明確的SOC發(fā)展目標，公司從戰(zhàn)略層面制定架構體現(xiàn)了對整個工作 公司在開始構建SOC體系指出，將合規(guī)放在第一位，因此得分為4分。有SOC安全相關負責人，但尚未在核心業(yè)務部門和職能部門設立對接人，團隊在SOC安全體系中，搭建了SOC、TIX的融合應用，但NDR覆蓋面不足，且MDR有專門的運維團隊，但是各數據源相互尚未打通，運維支持但并未覆蓋整個公計算整體得分：該企業(yè)的整體得分=2(戰(zhàn)略計算整體得分：該企業(yè)的整體得分=2(戰(zhàn)略規(guī)劃)*20%+3(業(yè)務支撐得分)*20%+4(合規(guī)管理得分)*15%+3(團隊配置得分)*15%+3(技術運維得分)*15%+3(運維保障得分)*15%=2.95 該企業(yè)的整體SOC結論與分析：成熟度評分為2.95,屬于基礎階段。七、未來展望THESEVENTHPART備安全大數據及Al技術積累，為企業(yè)構建安全戰(zhàn)01混合多云統(tǒng)一安全運營中心 整個集團安全建設沒有統(tǒng)一規(guī)劃，無有效手段進行統(tǒng)一安全監(jiān) 分支機構和集團網絡安全建設分裂，安全攻防與安全運營能力 無法直觀的可視化呈現(xiàn)各子單位的安全能力建設情況及安全 可是大屏呈現(xiàn)可是大屏呈現(xiàn)定制化安全運營指標大屏騰訊威脅情報中心數十種設備日志數下屬單位：安全運營中心CMDB系統(tǒng)日志中臺權限中心用戶行為中心HR系統(tǒng)網絡管理系統(tǒng)影響網絡安全態(tài)勢感知的要素私有云八、騰訊SOC+實踐多源異構數據范式化處理和綜全工作團隊獨立安全運營的能通過混合多云統(tǒng)一安全運營中心的建設，與集團安全建設戰(zhàn)略規(guī)劃緊密結合，助力客戶安全戰(zhàn)略目標落地；實現(xiàn)與集團業(yè)務深度結合，幫助客戶全面掌握集團安全標，促進總部和下屬機構的安全運營成熟度，提升安全運營團隊的安全運營能力。簡化客戶安全運維管理，幫助客戶從每天處理超過百萬的安全告警中解脫；依托智能準確的安全運營平臺，使需要人工分析的安全告警驟降到個位數；與客戶業(yè)命周期閉環(huán)。云端威脅情報中心進行7*24小時在線檢測和響應，減少威脅停留時間，及時發(fā)現(xiàn)并控制事件，防深度威脅分析，聯(lián)動響應與處置，并結合安全運營標準化服務對安全事件進行實時監(jiān)測，對發(fā)生的重大安全事件進行回溯分析，實現(xiàn)及時處置、止威脅情報等手段，進行平臺暴露面分析，監(jiān)控外部面對持續(xù)攻擊，降低受攻八、騰訊SOC+實踐某大型企業(yè)的數字資產在企業(yè)商業(yè)活動起著關鍵作用。為了保護數字資產，企業(yè)在主備兩個數據中心部署了大量的安全防護產品，但仍然不時出現(xiàn)入侵成功的事件?，F(xiàn)有安全防護體系無法應對高級可持續(xù)性(APT)攻擊，需要針對高級威脅攻擊檢測場景做全面覆蓋，實現(xiàn)大流量集中實時的高級威脅檢測分析。面臨的挑戰(zhàn)如下：難檢測人檢測人 騰訊NDR網絡威脅檢測與響應系統(tǒng)，在日常運營過程中，作為唯一全網流量檢測設備，通過獨有的Al引擎、安全專題、威脅情報能力對比客戶已部署的WAF、終端安全、防火墻、蜜罐類產品提供了高級威脅檢測能力，具體實現(xiàn)效果：集中大流量分析，全網全態(tài)勢實時掌握云端威脅情報與本地產品聯(lián)動賦析研判效率1.項目背景圖安全運營和分析八、騰訊SOC+實踐3.方案價值 某集團是一家世界500強公司，隨著業(yè)務的快速擴張，面向互聯(lián)網側開放的業(yè)務也逐步增多，這樣就