精彩速递 | 2018 SOC&EDR应用建设高峰论坛

7月，蝉鸣的夏季，阳光炽热，我们相遇在“鹏城”，FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题，聚焦SOC&EDR在企业的应用建设，会议邀请了多位在SOC建设运营以及端点安全、EDR落地应用等方面有着丰富实践经验的企业安全负责人和知名厂商现场分享，受到了与会观众和嘉宾的热烈欢迎和讨论。下面一起来看看本次论坛的精华内容吧。

极致你的SOC：智能安全运营中心的建设旅程

IBM 大中华区安全事业部高级架构师 刘璐莹

很多公司会出于纵深防御战略的考虑而购买一系列安全解决方案，这些措施方案时常会产生百万个日志和事件，他们之间鲜有相互的关联或协调，进而让安全投资发挥最大作用。建设安全运营中心（SOC）帮助企业安全管理人员更清楚和深入的了解攻击事件，提高企业安全应急效率和决策能力。在加强可靠性的基础上，节约企业安全运营成本。

SOC的一般建设步骤：

• 架构设计，大致包括：SOC服务目录、系统拓扑、架构视图、SOC运营模型、SOC组件模型、SOC运营依赖性、SOC交付位置、非功能性需求等 • 流程与组织设计（必不可少） • UseCase设计（决定了SOC的运行效果） • SIEM实施与整合 • 安全事件响应与工单设计 • 威胁情报功能设计与实施 •SOC报告设计与实施，SOC报告可以为业务提供良好的洞察力，确定其风险修复活动的优先次序。 •测试，试点与过渡运行

在构建SOC方面，IBM有着丰富的实践经验，在多年来帮助企业建设和运营SOC的过程中发现，很多威胁管理平台仍有诸多不足，需要安全分析员投入大量时间到威胁分析工作中去，占用资源，反应慢，误报率高。如何在管理好成本和投资回报压力的同时解决这些问题？为此，IBM推出了自己的解决方案，Watson & Resilient平台。Watson解锁了大量的安全知识，以快速启用全面的调查见解，利用认知安全来增强安全分析师能力；IBM Resilient平台则提供安全运营和响应服务的能力，Watson与Resilient平台的加入可以加速SOC认知和自动化工作流程。

在演讲的最后，刘璐莹也展望了下未来的SOC。她认为，未来成熟的安全运营中心将有能力超越传统的威胁管理，成为管理一系列业务风险的协调点，也即从SOC转向JRAC （联合风险分析中心）。

AI驱动的网络威胁检测运营

斗象科技 高级安全技术顾问 顾丽晴

近年来此起彼伏的终端安全事件不断警醒我们，由防病毒、防火墙、入侵检测等构成的传统安全防护体系已经越来越难以应对新型的网络攻击。传统手段逐渐失效，防御网络攻击威胁需要新的解决思路方案，威胁检测预警成为近年来热议的话题方案和有效的防御手段之一。

随着近两年AI技术的突破，将AI技术应用于威胁监测成为了诸多厂商研究的热点。相较于传统的威胁监测，AI能够智能识别未知威胁，提高检测能力，同时，还能对事件进行关联分析，提高决策运营能力。目前，AI已经在色情图片检测、DGA、暗链、恶意URL、WebShell检测等方面有了实际落地的场景应用。

顾丽晴在演讲中还以webshell为例，阐述了机器学习监测方式下从数据采集、特征提取、模型训练与验证到大数据平台部署整个流程。据悉，以漏洞盒子漏洞数据库为数据样本训练出的机器学习检测模型已经成功应用在斗象科技自主研发的网藤PRS被动风险感知产品中，感兴趣的朋友可到官网申请试用（www.riskivy.com）。

最后，顾丽晴还与大家分享了她在研究AI在网络安全中的经验与思考。开发机器学习模型需要一个耗时、专家驱动的工作流程，这个流程包括数据准备、特征选择、模型或技术选择、训练以及调优等。顾丽晴对此还推荐了一个应用——AutoML，其使用许多不同的统计和深度学习技术，可以帮助使这个工作流程实现自动化。在而机器学习技术的研究应用方面，还面临着有价值样本的缺失以及模型的可解释性的问题与挑战，需要与大家共同探讨解决。

基于EDR和MDR技术的新一代应急响应体系

安全狗CEO 陈奋

“网络杀伤链”最早由美国著名武器制造商洛克希德·马丁公司提出，用来描述针对性的分阶段攻击。侦查跟踪——武器构建——载荷投递——漏洞利用——安装植入——命令与控制——目标达成，每一环节都是对攻击做出预测和反应的机会。

终端安全是企业安全运营体系中必不可缺的一环，涵盖企业资产生命周期与漏洞管理、入侵检测、安全监控与基线稽查等。新一代主机安全产品在事前、事中、事后三个阶段，从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题，通过主机EDR能力的增强，反哺SIEM或SOC平台，最终达到全网自动响应已知威胁的能力以及对 未知定向攻击的检测告警能力。

EDR与企业安全落地的实践与思考

深信服终端安全产品主管 邹荣新

企业终端安全面临的主要痛点主要来自四个方面：无统一的管控平台、时间发现不及时、安全响应速度慢、无专职安全人员。EDR产品的核心就在于能够对位置病毒进行持续的监控检测和响应，缩短病毒驻留时间。

传统杀毒软件只能根据已有规进行对事件进行检测和响应做防御，目前国外主流终端安全厂商的EDR产品大多只注重检测未知威胁的能力。而对扎根于中国本土企业的EDR产品，糅合了两者所长的同时还有者自己的创新。此外，在演讲中邹荣新先生还介绍了深信服在终端和网络(防火墙和感知设备)联动的整体检测响应联动解决方案，预测、防御、检测、响应，行程自适应闭环联动，大大缩短检测响应时间。

智慧安全体系下EDR构建

腾讯智慧安全副总经理 邓振波

在企业数字化进程中，企业IT正从传统网络时代向互联网、云计算以及万物互联的时代过渡。这一过程中，越来越多的智能化设备接入到网络，与之同时企业业务也愈发繁杂、并且广泛分布，随之而来的就是企业的网络边界的变化，不仅被打破，而且变得越来越模糊。这就为传统的基于网络边界的防御体系带来了更大挑战。另一巨大变化是企业的业务模式。在云时代，数据成为业务发展的燃料和助推剂。数据和业务随之成为企业最核心的资产。保障数据和业务的安全性成为重中之重。企业it形态和业务模式上的转变，加上外部严峻的威胁形式，使得企业暴露出更多的攻击面，威胁对抗升级。

当前，安全行业的威胁数据趋于共享，威胁应对能力差异转向于整个威胁应对周期的效率。包括如何更早的感知到新兴威胁，如何更快的将安全能力同步到产品和业务，进行体系化防御、阻断，以及如何更高效的溯源分析。对此，腾讯的智慧安全体系，从数据驱动、安全架构和智能分析三个方面，来提升整体安全运营效率，提高威胁应对能力。整个智慧安全体系是以海量数据融合为基础，安全大脑为核心，建设风险预测、安全态势评估、威胁防御、检测、事件溯源的能力，完成从数据到智能、到能力的闭环。

思科EDR协同联防架构帮助企业提升安全预防和响应能力

思科安全顾问工程师 魏建伟

全球信息化高速发展，黑客攻击也正在以更快的速度演化，不用纠结是否会被攻击，应该关注何时会被攻击！企业以单一产品、签名方式的防护架构，正面临着巨大的挑战。思科EDR协同集成化安全架构，全面覆盖网络边界、传输内容、用户行为和终端联防，以Talos全球安全情报为依托，将静态分析、机器学习和动态分析技术融为一体，通过集成化、持续性分析，对攻击的源头和全路径进行追踪。

从御建到驭剑

顺丰集团信息安全应急响应中心高级经理 肖茂林

顺丰集团作为快递行业的领先企业，信息安全历来被视为企业的重中之重。建设之初，面对庞大的和终端数量和广泛的分支机构，顺丰的信息安全以点作为防护，在网络、终端、运维、文档的安全方面构建以保护为目的的安全防护体系，信息安全依靠强有力的管理支撑。然而，各自为战，不懂抱团，系统工具不能组合产出最大效果，信息缺乏联动难以有效利用，给管理和安全应急带来诸多不便。

进阶，顺丰集团的安全研发人员将单点产品接入态势感知平台，形成有规划的网络安全部署，打造一个基于大数据关联分析的态势感知平台，实现了对基础设施健康评估和安全风险评估，可视化的平台还能实时展示攻击和入侵事件趋势、预警业务安全风险。

安全永无止境，从最初的为防御而建设安全体系伊始，顺丰就不断研究突破，力图化被动为主动，不止能防好入侵威胁，更能“驭剑”出击，将安全问题扼杀在摇篮。弥补传统安全监控在事中控制的不足，通过安全产品、应用软件、数据分析相结合，实现可阻断的全面安全管控。

企业对SOC的发展需求及现状

启明星辰资深产品总监 胡岸波

Gratner认为SOC已经进入成熟期，但在我国SOC还处于持续发展期，并且行业间SOC发展水平差异较大。

与外国用户不同，国内大多数企业用户大多以自建SOC为主，希望借助于SOC从全局角度进行统一安全策略管理、安全事件分析、资产风险评估、安全预警与应急处置，提升企业的整体安全防护能力。同时，来自等保，网络安全法规要求以及政府安全监管系统数据接口、各省电子政务外网建设规范中针对安全综合管理平台技术要求与接口规范也是驱动SOC发展的外在因素。

SOC建设的趋势现状：

SOC使用大数据架构已成为趋势 关联规则仍是SOC的主流分析技术，关联分析规则长序列事件的关联分析中依然是最有效的方式 SOC自带NAT功能将成为趋势，后续可在SOC中提供NTA相关功能。借助NTA能很好地补充SOC在安全分析场景所需的数据，实现数据采集与分析一体化。 安全事件分析场景需要精心构造 机器学习的应用 通过SOC联动一切安全防护设备

展望未来，SOC将与不同行业及企业的业务相结合，解决业务面临的安全问题将成为SOC的一个发展方向，同时建立动态安全分析模型，利用知识图谱自动识别和跟踪实体、设备、用户及其属性之间的关系、行为和活动，观察不同寻常的行为模式的活动。

小微互联网金融企业应用安全体系建设

微众银行SRC和应用安全负责人 李杰

微众银行作为国内第一家互联网金融银行、全面去IOE实现自主可控分布式IT架构的银行企业，在互联网+金融的场景下，面临前人未曾经历的安全威胁场景，如何互联网下模式下做好金融安全体系的建设，微众银行应用安全团队做出了有标准、可落地、体系化、可考验的探索实践。

安全开发生命周期SDL建设：从安全技术意识培训，制定安全规范开始，到需求、质量标准建立，安全设计，安全开发，代码审计，应急响应……微每一个产品开发的全生命周期中都注入安全因素。

自主可控的安全基础建设：安全基线、Web安全、主机安全、APP安全、漏洞管理系统、历史风险巡查……

满足监管需求同时建立纵深的安全体系

交叉验证、安全短板最小化：周期性风险演习，防患于未然；引入外部力量（众测）进行安全评估；建立内部蓝军，主动发现安全体系薄弱点。

SOC成熟度评估实践

网心科技安全总监 李燕宏

现代网络安全防御理念正在逐渐从以漏洞为中心转向以威胁为中心。随着企业越来越重视对安全威胁的侦测响应，内部的SOC项目也应运而生。如何向管理层清晰描绘SOC的建设路标，把资源用在刀刃上，提升SOC团队的作战能力，也成了安全团队负责人经常思考的问题。

那么，如何评估SOC的成熟度呢？李燕宏分享了他的经验实践，即——BPPT（ Business、People、Process、Technology）评估体系。

业务（ Business ）：业务目标、绩效指标、内部支持、外部关系、业务交付、供应商管理 人员（People ）：人员架构、人员培训、职业认证、团队经验、技能评估、发展通道、管理能力 流程（Process ）：运营流程、分析流程、技术流程、业务流程、知识管理、内控 技术（Technology ）：技术框架、数据收集、监控分析、数据建模、可用性保障

2017年业界 SOC 现状，目前27%的企业没有建立最基础的安全监控能力，82%的企业没有达到建议的成熟度水平。业务成熟度超过技术成熟度，企业越来越了解业务目标，而不仅仅是使用工具。监控上注重建设威胁狩猎能力，应急趋势朝着安全联合中心发展。

针对SOC的成熟度提升，李燕宏先生也分享了他的经验看法。相比企业的大小，成熟度与企业的安全目标更紧密。成功的威胁狩猎来自于实时的检测和响应，不成熟的不可复用的方法会降低成熟度。7X24 对成熟度提升较大，但管理难度也加大。大企业可引入外部资源（人员外包）来提升成熟度，内部保持风险管理；中小企业可借助 MSSP 服务转移风险与成本。

以上是本次SOC&EDR应用建设高峰论坛的精彩议题速览，FreeBuf 企业安全俱乐部，下一站......暂时保密哦～