[转载]探究SOC起源
信息来源:安全焦点这两天在网上google了一下有关SOC的起源,把我个人看到的结果拿到坛子上来跟大家探讨一下。
SOC这个词应用在很多不同的领域(后面我会简单提两个别的领域的SOC做类比)。
IT界的SOC据我查找应该最早是ISS提出的,ISS的第一个SOC我没有看到是什么时候建立的。
在2000年12月11日,ISS宣布在瑞典的Helsingborg成立其第4个SOC
([url]http://www.iss.net/issEn/delivery/prdetail.jsp?type=&oid=14653[/url]),
2001年6月5日ISS宣布在日本东京成立其第5个SOC
([url]http://www.iss.net/issEn/delivery/prdetail.jsp?type=ISS&oid=14759[/url]),同时宣布在其
总部美国亚特兰大成立Global Threat Operations Center(GTOC),GTOC收集各个SOC的
安全信息进行统一的综合分析。ISS的SOC主要是用于为其客户提供安全外包服务(MSS),提供客户
的防火墙、VPN、IDS、AV的管理服务和安全评估服务。从这一点上可以看出国内外的SOC的不同用法,
国外公司是安全厂商建SOC给客户提供MSS,但是MSS在国内还不流行,所以每个客户都想建自己的SOC,
但是客户能否用得好SOC我觉得在将来可能会是个问题。
在这里有一个细节要说一下,美国人对SOC的全称是Security Operations Center,中间的
operations是复数形式,但是安氏拿来之后变成了单数的operation,我想这可能是因为中国人对于
operation的理解和英语用法的疏忽,就好像前些天在外面大排挡看到五星啤酒的太阳伞上的广告写着
他们的英文名称是Five Star(不是Five Stars,也不是Five-Star)。
(补充一点就是网管中常用的NOC的全称是Network Operations Center,我想SOC多少可能
是受启发于NOC产生的吧。)
在美国还可以在其他领域也看到SOC这个称呼,比如美国的国土安全运营中心(Homeland Security
Operations Center,HSOC),HSOC主要用于震慑、检测和预防(Deter, Detect, Prevent)恐怖
袭击,它从全国各地联邦、州、地区和一些私营部门伙伴收集信息、分析并协调处理安全事件。
([url]http://www.dhs.gov/dhspublic/display?content=3814[/url])
还有比如美国马里兰大学(UMCP)的校园公共安全部门用于管理校园安全的SOC,它主要是应用分布
在校园室内室外的几百个摄像头做为信息来源,来检测校园内的安全事件,并把从SOC监测到的非法事件直接
转发给相关的公共安全部门,交由警方进行处理。
([url]http://www.umpd.umd.edu/organization/tsb/socwebpage/vidfaq.htm[/url]) 关于SOC/MSS的讨论越来越热闹,因为在安氏的时候经历过不少这方面的事情,刚好昨天晚上还和Jordan通了个电话,因此也来凑个热闹说上几句。
首先,对于一些英文缩写,大家不要理解死了,不同的公司,不同的环境,可以表示不同的或者至少不同程度的意思。比如MSS(managed security services),核心思想就是一个:outsourcing security。但是不同的公司,比如ISS,TruSecure, FoundStone,Counterpane,Exodus,@stake,这些当年MSS的积极鼓吹者,各自的描述和范围是不尽相同的。
再比如SOC,是security operations center 还是 security operation center?就是ISS自己狂推MSS/SOC的时候,关于MSS业务的不同PPT里有时用operations,有时用operation。当然用operations的时候多一些。
Mad的帖子讲Couterpane是MSS/SOC的先行者没错,但是声势最大,影响最大的还是ISS,ISS当时在美国和AT&T, Bell South等很多运营商一起开展MSS服务,大力推广MSS/SOC,当时ISS把MSS当成非常重要的一个发展方向,设计了很多的业务模式,分析了Value Chain,提出大力发展MSSP(managed security services provider)来解决MSS的scalability 和capacity的问题。这和当时加盟ISS的一个高级VP是MSS这方面的长期研究者和从业者有关,后来此公离开了ISS,ISS也调整了业务方向,MSS业务也就慢慢淡化下来了。
当时的SOC,是一个安全集中监控、研究、处理流程的概念,通过它实现MSS,为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”,因此各位仅仅停留在名字上,甚至缩写上,并没有什么实际意义。operations只是SOC里的一个环节。
2000年初我加入安氏开始建立服务部,当时安全服务如评估、体系设计等等还是只有较少客户认同,国内火热的IDC还没有崩溃,但是也在苦苦寻找增值服务的概念,我们看到了这个机会,利用了ISS的一些知识转移,开始在国内大力推广MSS/SOC的概念,并很快和世纪互联签署了中国第一个MSS/SOC合作协议,(我和郑海明谈了N次后签的合同,该同志是IDC业务的老同志了,现在自己开了个公司做反垃圾邮件产品了),开始形势还不错,但是随着IDC整体市场的萎缩,慢慢这个合作就无疾而终了。当时还同时和多家IDC谈了MSS/SOC合作,并签署了多个合作协议,虽然在MSS上没有带来多少收入,但其中有些IDC成功转型后至今还是安氏不错的合作伙伴,在有些省的安氏SOC项目中发挥了作用。
这里强调的一点是,当时安氏推MSS/SOC服务概念,即使在实际收益上没有大突破,但在安氏的融资过程中,发挥了很好的作用,当时安氏仅仅卖ISS的代理产品,对投资者来说,这并没有太多吸引力,安氏利用“安氏实验室+MSS/SOC+FW开发计划”,给投资者编出的故事还是有一定吸引力的,当年编数字也是一件很有趣的事情。加上Paul的资本市场经验,以及和TM的一些Bargain,拿到了钱。
当时的想法是利用ISS的模型,开发一个SOC平台,包含前面提到的三个要素,然后把这个产品提供给MSSP,把自己定位在Value Chain的高端。
后来SOC的概念被慢慢转移到开始出现的集中安全管理的需求上来。当时联系了eSecurity,Intellitactics和NetForensics三个主要的SIM厂家,最后还是和eSecurity合作了。
至于SIM,还是SOC,还是SMC,MAD在上个帖子进行了论述,可以看作是一种解释。
各位,名称不是最重要的,重要的是集中安全管理这个市场开始慢慢起来了,从最早的三个SIM小公司,到现在各大公司纷纷发力进入(CA,IBM,HP,Cisco(netforensics的主要投资者),集中安全管理的内涵和外延也自然都在发生变化。从较单一的安全产品管理到现在越来越庞大的结构体系,比如包含安全设备管理、关键资产管理、响应流程管理、纳入角色管理等等,全面实现information Security Magazine提出的3C概念,都随着越来越多公司的介入而逐步完善。
至于技术层面,实现真正的关联分析就好比当年的人工智能,可能比较镜花水月。更加具有实际意义的是如何有效的结合资产、脆弱性管理,提高威胁事件分析的准确性,纳入合理的响应流程,在现有技术水平上尽可能提高整体安全管理的效率和准确性,这应该是大家努力的方向之一。
页:
[1]