欢迎光临第五届中国汽车网络信息安全峰会2020!

SIEM、SOC、MSS三者的区别与联系

发布日期:2020-07-30


GRCC IoVSecurity 昨天 

手机阅读

点击上方蓝色字体,关注我们

前言

SIEM和SOC在国内并不是一个新兴的名词,相反在国内安全圈内经过了10余年的挣扎,SIEM已经趋于成熟,但是SOC仍处于一个鸡肋的位置,我认为其主要原因在SOC受制于国内体制、政策、相关日志标准、应用环境、传统认识的制约,从而它在国内一开始就是以产品的方式出现。缺少了MSS的辅助SOC就像是要求汽车驾驶员去驾驶维护飞机,这也是国内SOC一直无法用起来的主要原因。

而以SOC为基础的MSS(可管理安全服务)一直无法发展状大的原因有二。

  1. 欧美国家对MSS服务的技术封锁。

提供MSS服务要求拥有相当经验高级安全分析专家、完整的SOC运维团队;标准的安全事件响应与处理流程、SLA;成熟的信息安全检测模型、威胁场景库;精确的警报系统、报告系统。学习和建立这一套服务体系不光要耗费大量的**、时间与人力,还需要海量的运营资源来实践,可见要拉出一支这样的团队实属不易。

  1. 高昂的人力成本与客户现场运维相冲突。

做到以上MSS服务的要求需要的成本非常高昂,这就意味是如果要使其商业化*好的方式是集中式管理运营,这点与国内高端客户普遍要求服务商在现场运维是相冲突的。欧美国家的MSS服务之所以盛行,其原因是其相关信息安全标准已经非常成熟,国家与商业机构都已经普遍执行并认可,所以MSS所要求的日志外传+集中式管理运营(安全日志代运维)得到了接受和认可。

  • 什么是SIEM

SIEM (安全信息和事件管理)是软件和服务的组合,是SIM(安全信息管理)和SEM(安全事件管理)的融合体。两者的区别在 于SEM侧重于实时监控和事件处理方面,SIM侧重历史日志分析和取证方面。SIEM为来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的***和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。

  • 什么是SOC

SOC(安全运营中心)来源于NOC(网络运营中心)。

随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。

目前所说的SOC是SOC 1.0阶段,只是在SOC的核心部件SIEM的买卖,国外所说的SOC是一个复杂的系统,它使用SIEM产品进行运维又以此向客户提供服务,也就是我们所说的SOC 2.0/MSS。

SOC(安全运营中心)是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。

SOC是一个复杂的系统,它既有产品,又有服务,还有运维,SOC是技术、流程和人的有机结合。

汽车行业案例:守护网联汽车安全 日本电装和NTT将验证车辆SOC技术

日本电装与日本电报电话公司(以下简称NTT)宣布,将从2020年1月开始验证双方共同开发的“车辆安全操作中心”(以下简称车辆SOC)。


谁是网联汽车的守护者?


随着网联汽车的加速普及,利用ICT(信息与通信技术)的新汽车技术和解决方案不断涌现,与之相伴的是网络攻击也越来越复杂。因此,为了保护网联汽车,可以早期检测及分析网络攻击,并根据情况提供适当支持的安全技术变得愈发重要。


车辆SOC技术出现,满足日益增长的需求


日本电装与NTT公司自2017年就开始研发车辆SOC技术,通过分析车上安全系统输出的数据,来检测网络攻击,并确定受到影响的区域。


两家公司希望通过车辆SOC技术,可以针对网络攻击的种类和情况提供适当的支持,为提高网联汽车的安全性和可用性、并实现快速安全响应做贡献。


车辆SOC技术示意图 


开启验证阶段,加速产品研发


两家公司近日将就开发出的车辆SOC技术,在测试环境下开始技术验证。双方将对测试车进行不同类型的网络攻击,让汽车SOC检测网络攻击,并分析受影响的区域。通过反复模拟挑战对应各种状况,从而实现技术提升。电装NTT提供利用车载系统、车辆网络安全、网联汽车、MaaS开发等培养的信息安全、通信、数据分析等技术。


NTN提供网络、云计算、管理安全(IT安全操作系统等)相关技术。此外,将充分利用NTT集团的新安全技术,包括NTT安全的分析技术,NTT安全平台研究所的研究成果等。今后,双方将通过车辆SOC技术的验证加速研发,面向更加安全、安心的出行社会而努力。



  • 什么是MSS

MSS(可管理安全服务)是由专业的MSSP(可管理安全服务提供商)提供的安全运维外包服务。

   MSS可为客户带来以下收益。

     1.降低成本:人员配置,技能要求,场地需求。

     2. 全天候监控:7×24的监控服务。

     3. 风险监控:有效监控安全风险,第一时间提供解决方案。

     4. 发现和解决问题:及时发现和解决可能存在的安全问题。

     5.趋势分析:专业的安全趋势分析,月、季、年安全分析报告。

     6.日志存储和查询:日志有效存储和备份、快速查询定位。

  • SIEMSOCMSS的区别与关联

SIEM侧重于日志的集中式管理和审计,SOC则用于安全日志的分析和安全风险的监控与定位。两者的侧重点不同决定了,SIEM可以用产品来交附而SOC则必需加入MSS服务的人工干预来完善。

对于两者之间的区别,SIEM只做到了传统的安全日志数量统计,SOC+MSS则是对安全日志重定义并生成新的安全事件,实现对安全日志的归并、过滤与威胁定级,将安全警报量化。例如,A公司受到***的DDoS***,15分钟内收到了20W条相关的安全日志。SIEM报给客户的报警为20W条,而SOC报给客户的报警为1条,显然在安全风险管理的角度上来看,SIEM的计数方式是不科学的。

MSS服务结合SOC则能做到智能化监控、分析、预警服务,改变过往自行维护繁复的安全信息与事件管理平台的习惯,摒弃安全信息与事件管理平台的复杂化,从管理的简易性、事件呈现、事件处理等角度提供解决方案,可以通过门户网站的模式获得所关心的内容,同时也可以在指定时间内通过电话等多种形式得到安全响应和相应的安全解决方案,在门户网站上也能得到更加详细的解决方案内容。

来源:51CTO  | 作者:ricktang



相关文章

王羽:智能网联汽车需重视安全问题
AUTOSAR 基础软件的内在安全

TARA





SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None