SIEM、SOC、MSS三者的區別與聯絡

標籤：資訊安全   mss   可管理安全   soc   siem   

SIEM、SOC、MSS三者的區別與聯絡前言

SIEM和SOC在國內並不是一個新興的名詞，相反在國內安全圈內經過了10餘年的掙紮，SIEM已經趨於成熟，但是SOC仍處於一個雞肋的位置，我認為其主要原因在SOC受制於國內體制、政策、相關日誌標準、應用環境、傳統認識的制約，從而它在國內一開始就是以產品的方式出現。缺少了MSS的輔助SOC就像是要求汽車駕駛員去駕駛維護飛機，這也是國內SOC一直無法用起來的主要原因。

而以SOC為基礎的MSS（可管理安全服務）一直無法發展狀大的原因有二。

1. 歐美國家對MSS服務的技術封鎖。

提供MSS服務需求擁有相當經驗進階安全分析專家、完整的SOC營運團隊；標準的安全事件響應與處理流程、SLA；成熟的資訊安全檢測模型、威脅情境庫；精確的警報系統、報告系統。學習和建立這一套服務體系不光要耗費大量的金錢、時間與人力，還需要海量的運營資源來實踐，可見要拉出一支這樣的團隊實屬不易。

1. 高昂的人力成本與客戶現場營運相衝突。

做到以上MSS服務的要求需要的成本非常高昂，這就意味是如果要使其商業化最好的方式是集中式管理運營，這點與國內高端客戶普遍要求服務商在現場營運是相衝突的。歐美國家的MSS服務之所以盛行，其原因是其相關資訊安全標準已經非常成熟，國家與商業機構都已經普遍執行並認可，所以MSS所要求的日誌外傳+集中式管理運營（安全日誌代營運）得到了接受和認可。

 

 

• 什麼是SIEM

SIEM (安全資訊和事件管理)是軟體和服務的組合，是SIM（安全資訊管理）和SEM（安全事件管理）的融合體。兩者的區別在 於SEM側重於即時監控和事件處理方面，SIM側重曆史日誌分析和取證方面。SIEM為來自企業和組織中所有IT資源（包括網路、系統和應用）產生的安全資訊（包括日誌、警示等）進行統一的即時監控、曆史分析，對來自外部的入侵和內部的違規、誤操作行為進行監控、審計分析、調查取證、出具各種報表報告，實現IT資源合規性管理的目標，同時提升企業和組織的安全運營、威脅管理和應急響應能力。

 

• 什麼是SOC

SOC（安全運營中心）來源於NOC（網路運營中心）。

隨著資訊安全問題的日益突出，安全管理理論與技術的不斷髮展，需要從安全的角度去管理整個網路和系統，而傳統的NOC在這方面缺少技術支撐，於是，出現了SOC的概念。

目前所說的SOC是SOC 1.0階段，只是在SOC的核心組件SIEM的買賣，國外所說的SOC是一個複雜的系統，它使用SIEM產品進行營運又以此向客戶提供服務，也就是我們所說的SOC 2.0/MSS。

SOC(安全運營中心)是以資產為核心，以安全事件管理為關鍵流程，採用安全域劃分的思想，建立一套即時的資產風險模型，協助管理員進行事件及風險分析，預警管理，應急響應的集中安全管理系統。

SOC是一個複雜的系統，它既有產品，又有服務，還有營運，SOC是技術、流程和人的有機結合。

 

• 什麼是MSS

MSS（可管理安全服務）是由專業的MSSP（可管理安全服務提供者）提供的安全營運外包服務。

   MSS可為客戶帶來以下收益。

     1.降低成本：人員配置，技能要求，場地需求。

     2. 全天候監控：7×24的監控服務。

     3. 風險監控：有效監控安全風險，第一時間提供解決方案。

     4. 發現和解決問題：及時發現和解決可能存在的安全問題。

     5.趨勢分析：專業的安全趨勢分析，月、季、年安全分析報告。

     6.日誌儲存和查詢：日誌有效儲存和備份、快速查詢定位。

 

• SIEM、SOC和MSS的區別與關聯

SIEM側重於日誌的集中式管理和審計，SOC則用於安全日誌的分析和安全風險的監控與定位。兩者的側重點不同決定了，SIEM可以用產品來交附而SOC則必需加入MSS服務的人工幹預來完善。

對於兩者之間的區別，SIEM只做到了傳統的安全日誌數量統計，SOC+MSS則是對安全日誌重定義並產生新的安全事件，實現對安全日誌的歸併、過濾與威脅定級，將安全警報量化。例如，A公司受到駭客的DDoS攻擊,15分鐘內收到了20W條相關的安全日誌。SIEM報給客戶的警示為20W條，而SOC報給客戶的警示為1條，顯然在安全風險管理的角度上來看，SIEM的計數方式是不科學的。

MSS服務結合SOC則能做到智能化監控、分析、預警服務，改變過往自我維護繁複的安全資訊與事件管理平台的習慣，摒棄安全資訊與事件管理平台的複雜化，從管理的簡易性、事件呈現、事件處理等角度提供解決方案，可以通過門戶網站的模式獲得所關心的內容，同時也可以在指定時間內通過電話等多種形式得到安全響應和相應的安全解決方案，在門戶網站上也能得到更加詳細的解決方案內容。

本文出自 “MSS與SOC” 部落格，請務必保留此出處http://ricktang.blog.51cto.com/1097764/1739317

SIEM、SOC、MSS三者的區別與聯絡