专访惠普王禄耀：企业如何高效识别响应恶意事件

　　ZDNET至顶网安全频道 10月25日 专访：随着移动互联、云计算和社交媒体的兴起，企业越来越深入的意识到，“三方技术、七分管理”是信息安全的铁律。明天的企业安全策略是花更多的时间用于安全分析，花更少的时间用于边界防御。企业通过设计、构建和管理内部安全运营中心，可以确保充分利用在安全技术方面进行的高昂投资获得预期成果，SOC慢慢走向成为整个企业的安全营运大脑。

　　近日，ZDNet记者采访到惠普公司亚太及日本地区企业安全区域市场总监王禄耀，分享企业如何部署SOC产品，提高快速识别和响应恶意信息安全事件方面的能力。并解读 HP ArcSight ESM / Express 如何实现出色的关联分析，发掘有效信息，确保高效识别、响应恶意事件。

惠普亚太及日本地区企业安全区域市场总监王禄耀

　　记者：近几年SOC市场的状况如何?哪些行业应用比较明显?有没有典型的案例?

　　王禄耀：目前主要应用 SOC 的领域，各个地区有些许的不同，总的来说，以电信业，金融服务业以及政府机关为主，而目前慢慢的中小型企业也开始建置SOC 。然而，由于人员组织配置等等，许多的企业依然是以虚拟 SOC 为主，也就是透过 SIEM 产品，进行主动关联分析，主动告警，开立工单，风险追踪等等为主，至于配置 7x24 小时的全天监控人员，还是以大型企业为主。

　　典型的的使用案例，譬如中国的招商银行，该银行甚至已经自行将 ArcSight SOC 与该公司的 ITIL 流程进行整合，而电信业则有台湾中华电信，制造业则像是韩国三星电信等等。而一般企业使用 SOC 的部分，许多的部分是用来产生报表，以及风险分析，例如高权限用户的活动状态，企业内部蠕虫爆发情况，企业内部对外的威胁分析等等。

　　记者：SOC是如何实现将企业众多信息安全设备进行管理这一过程的?

　　王禄耀：日志文件提供了一份审计跟踪，可通过对其进行分析来检测网络攻击并进行详细的取证分析，以及简化合规审计、协助应用开发和提高 IT 服务等级。

　　SOC需要能够收集、分析和存储现代网络所产生的海量数据来管理这些海量信息。这一功能可通过采用通用日志管理解决方案(如 ArcSight Logger 等)实现，此类解决方案能够基于任意类型的企业日志数据进行搜索、报告、提醒和分析。这些解决方案支持多种部署选择，并可作为设备和软件进行安装。

　　记者：是什么驱动用户部署SOC产品，而SOC产品又给企业带来哪些价值?

　　王禄耀：通过设计、构建和管理内部安全运营中心，企业可显著提高其在快速识别和响应恶意信息安全事件方面的能力。借助SOC，企业还可确保充分利用在安全技术方面进行的高昂投资获得预期成果，并满足大量法规遵从要求。通过充分利用人员、流程和技术来应对挑战，并可确保 SOC 能够高效识别、响应恶意事件。

　　记者：作为SOC的核心功能，ArcSight ESM如何实现比较好的关联分析效果?

　　王禄耀：ArcsSight ESM的出色关联分析成效得益于以下措施：

　　· 标准化：ArcSight ESM提供了足够的数据字段来添加来自这些设备的所有必要信息，因此它能够与这些设备进行有效关联。

　　· 分类：ArcSight ESM提供了可扩展的分类，以支持简单易懂的形式来描述事件;通过写入厂商中立规则对事件进行轻松分组;并能够无缝集成新设备。

　　· 简单事件关联：ArcSight ESM可轻松进行事件汇总，检查多个事件，并防止某些事件被忽略。

　　· 多阶段事件关联：ArcSight ESM可从众多互不相干的事件(有时多达三个或更多)中有效分析信息，由此确定是否所有这些事件都与同一事件相关。

　　· 指定优先次序：ArcSight ESM 能够通过评估有问题的目标与企业业务需求的关联性，确定该目标的业务相关性。

　　· 统计分析：通过依据数据差异发现流量异常情况(如特定端口、协议或事件类型上活动的急剧增加)，ArcSight ESM可发现重要事件。

　　· 历史分析：ArcSight ESM可提供历史或取证信息，帮助SOC确定哪些事件可能被忽略。

　　· 物理和逻辑分析/位置关联：ArcSight ESM可进行物理和逻辑关联，能够对各种事件进行检测，包括帐户物理共享、VPN访问违规、地理访问违规或可疑物理活动(如下班后进出大厦)等。

　　记者：企业如何从海量事件信息中发掘有效信息?SOC如何保证可控能力?

　　王禄耀：安全运营的挑战之一在于从大量异构安全设备和系统中识别出重要事件、关联这些事件，并将事件总量减少到分析人员可管理的级别。分析人员可能不得不登录大量管理控制台来调查事件，但是庞大的事件量(如防火墙日志)可能使其无法进行明智的分析。要能够自动收集和关联事件，SOC必须部署安全信息和事件管理(SIEM)解决方案。

　　ArcSight SIEM解决方案可对恶意事件进行监视、调查和响应。ESM在存储和预警功能的基础上更进一步，提供了实时的监测和关联、历史分析及必要的自动化响应能力，旨在管理并承受当下数字世界开展业务所带来相关联的更高风险。ArcSight提供了实时事件管理和“动态取证”功能，可对某个告警进行追根溯源，找到触发该警告的源事件。

　　记者：作为一家非本土的安全厂商，ArcSight本地化策略是怎样的?如何做好产品的二次开发?

　　王禄耀：ArcSight ESM / Express 的产品本身在使用介面上就具备了相当成度的在地化，包括中文介面等。用户可以根据使用习惯，切换使用的语言。

　　而针对本地的各种安全产品， ArcSight 借由顾问服务以及本地的协力厂商的支援，来开发 FlexConnector，透过 FlexConnector 的机制，可以接收本地的相关产品日志。

　　而 ArcSight ESM /Express 的特性，也允许用戶/厂商二次开发相关的报表，仪表版等等，甚至关联规则以吻合本地需求。

　　记者：企业部署SOC产品，传统网络架构要做出哪些改变，或应有哪些准备?

　　王禄耀：传统网络架构非常有可能会配备一个网络运营中心(NOC)。该中心可根据其满足在网络和设备可用性、平均网络故障间隔时间及应用响应时间等方面的供应协定的能力进行衡量，并获得报酬。这与SOC形成了鲜明的对比。SOC根据以下标准进行评估：防护病毒、蠕虫和恶意软件的能力、保护企业知识产权和客户数据的能力、以及确保IT基础设施不用于恶意或非法行为的能力。

　　当今时代，安全威胁不断增加，法规要求更加严格，预算日趋紧张。这一切都要求NOC和SOC需要加强彼此之间的合作。而加强其合作要求为其提供适当的工具和培训的同事，采用一致的举措改变NOC和SOC的态度和文化，，以保证他们能够更加高效地进行合作。

　　在运营方面，双方需要建立通用标准和策略，以上报事件、变化和判断各种网络问题的危急程度。在规划全新基础设施或设施的早期阶段邀请双方人员参与，将有助于实现更紧密开明的沟通，消除在新的基础设施就位后进行昂贵重新配置和变更的需求。

　　最后，双方员工都需要拥有集成的自动化技术，以便为其需要协作性更强的新工作流奠定基础。对于采用集成并能够自动运行关键网络和安全运营功能的行业领先工具，这一协作将能够取得更加出色的成效。

　　记者：SOC未来的发展路线?

　　王禄耀：SOC 的发展路程，从最早的集中监控，告警通知等开始发展，然后到开立安全事件清单，安全事件分析，分权管理，再往下， SOC的走向将会慢慢成为整个企业的安全营运大脑，将原先的关联，通知等等能力，在往前推，达到自动防御等功能，以检少人员的介入等等。

　　在技术上的差异则是在以往，安全事件的确可以触发相关的动作，但往往仅限于特定动作，譬如在关联出特定事件之后，仅会进行单一动作的处理，但随著端点 (Endpoint) 的发展，以及云计算 (Cloud) 的普及，装置设备将快速成长，界接网络的方式也会大不相同，在这种状况下，针对单一事件，需要在不同的状况下给予不同的对应措施。