2023年SOC+安全运营体系白皮书

S0C+ 安全运营体系白皮书 以威胁情报和攻防对抗为原子能力，聚焦安全运营的未来式》》》 DOS NDR MDR TIX 腾讯安全IGartner. 2022.12 编写人员名单 报告顾问 方斌杨光夫 编写组成员腾讯安全 洪春华刘桂泽孙业亚东傅伟镔黄羽程碧淳陈琳王未来李国民刘玲陶夏激齐恒李晨东 腾讯知识产权部 黄超郑剑锋 专家组成员 程文杰徐展陈龙潘佳旭方正华许志雄周颖李诚 寄语 欢迎！ 随若数字化浪潮的蓬勃兴起，各类政企机构上云步伐加快。与此同时，如高危漏洞、勒索病毒、挖矿木马、APT攻击等威胁层出不穷，安全形势日益严峻。许多政企机构虽部署了较为完 备的基础安全产品，但防御体系仍以异构设备堆叠式为主，各设备相互制裂、难以深度协同 缺乏全局数据的可见性和主动防御能力。 面对指数级增长的威胁和告警，传统的安全防御往往力不从心。政企机构函需一款成熟 的、有体系、现代化的SOC，驱动安全运营整体能力朝“实战化”不断升级和演进。 “SOC+安全运营体系”是腾讯安全面向产业数字化转型推出的新理念，强调以威胁情报运营和攻防对抗为基础，构建起“情报-攻防-服务-生态”的闭环安全运营体系。目前，腾讯SOC+集成了TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营 服务四大产品矩阵，可支撑政企机构建立起技术、人员、流程一体化的安全运营体系，全面提升安全防护能力和安全运营效率。 未来，腾讯安全将依托威胁情报云将腾讯20多年攻防实战经验、业内顶尖安全实验室的安全能力、算法算力平台的安全大数据和AI技术，持续赋能并完善腾讯SOC+安全运营体系，为产业数字化升级保驾护航。 腾讯安全副总裁：方斌 目录 TENTS 一、企业安全运营行业发展特征 (一)安全运营产业发展历史01 1.SIEM打造安全工具阶段01 2.态劳感知融合发展阶段 02 3.现代SOC创新发展阶段04 （二）我国安全运营产业发展驱动因素07 1.合规驱动07 60 (三)海外安全运营产业发展特点 12 1.关回率先开展安全运营中心深索与部署 12 2.关回安全运营特征与演变 13 3.其他国家SOC发展特点 15 2.业务风险驱动 二、企业安全运营面临新形势 (一)数字化转型重塑IT架构，导致攻击面扩大17 (二)攻击方法层出不穷，安全挑战指数级增加17 (三)产品能力割裂，体系化能力建设不足18 (四)安全人才短缺，运营效果难保障18 三、"SOC+安全运营体系"构建安全防护新理念 (一)"5OC+"三大进阶理念19 1.威励情报云打造安全生命周期“闭环能力19 2.连接效能提升实现安全能力“集群效应”20 3.开放平台打造安全共赢“朋友图”20 目录CONTENTS (二)SOC+安全运营体系“架构进阶"22 1.原子力(AtomicForce)构筑：“情报、攻防"两大基础底座24 2.产品力(ProductForce)打造"核心-基础-抑手-载体"产品理念24 3.生态力(EcologicalForce)实现“共享-互补-共建"安全协同机制25 （三）腾讯SOC+安全运营体系优势27 四、SOC+安全运营体系四大进阶价值 (一)TIX威胁情报中心构建弹性协同安全体系29 (二)SOC聚焦威脉检测与事件响应35 (三)NDR以实战驱动，智能化部器网络安全防护体系40 (四)MDR构建最佳的安全运营效果45 五，SOC标准加快应用落地 (一)SOC相关整体标准49 (二)重点领域标准制定情况50 (三)SOC标准演进趋势52 六、SOC成熟度模型 (一)模型基本情况53 (二)SOC成熟度模型实践58 七、未来展望 (一)贴近实战—构建“防得住"的安全运营体系61 (二)人机汇智发挥专家经验与人工智能双重融合优势61 (三)多维协同--实现云端赋能-本地联动-产业链协同闭环62 (四)生态融合—-提升综合安全效能的必然选择62 八、腾讯SOC+实践 （一）混合多云统一安全运营中心65 1.项目背景65 2.解决方案67 3.方案价值69 (二)高级威(APT)检测与响应系统70 1.项目背景70 2.解决方案71 3.方案价值72 (三)基于情报与攻击面管理的主动防御体系73 1.项目背景73 2.解决方案73 3.方案价值74 (四)重保/攻防演练防护体系75 1.项目背景75 2.解决方案75 3.方案价值77 （五）内部违规与用户行为异常检测项目79 1.项目背景79 2.解决方案80 3.方案价值81 (六)安全服务托管MSSP平台83 1.项目背景83 2.解决方案84 3.方案价值85 目录CONTENTS THEFIRSTPART一.企业安全运营行业发展特征 【企业安全运营行业发展特征」 01安全运营产业发展历史 01SIEM打造安全工具阶段 信息安全建设早期，恶意代码和恶意软件层出不穷。为打破各类安全设备和系 统间的“安全防御孤岛”，SIEM(SecurityInformationandEventManagement，以 下简称“SIEM”)作为早期安全工具，开始在一些大型龙头企业内部使用，同时还在 历史数据保留和法律合规方面发挥若一定的作用。SIEM在早期采用了较为基础的关联引擎，但是对非结构化数据的本地处理能力较弱，需要用户花费大量时间进行数据查询，并且对安全事件发生的原因分析也较为初级。随若Splunk公司进入SIEM市场，并创新性的开发了一种灵活而强大的数据存储和搜索引擎，使得SIEM工具更容易获取、搜索、存储和显示数据。但是，当以ODay攻击为代表的高级威胁大 量出现后，SIEM行业的竞争格局再一次开始改变。传统的SIEM工具由于存在难以 实现精准告警、漏报较为严重等问题，已不是企业安全运营团队的理想选择。同时：有研究数据显示，有41%的受访企业表示：缺少熟练的安全工作人员来有效运行SIEM，也是当前面临的主要问题。 随若人工智能、机器学习算法和神经网络的发展，SIEM对帮助企业识别潜在安全威胁和漏洞安全解决方案的需求不断增加。尤其是后疫情时代，企业的网络边界越来越模糊，安全风险激增；要求SIEM的不断完善与创新，自动收集和分析数据，简 化安全管理并尽早检测企业相关违规行为，从而推动SIEM不断发展和演进。SIEM可以识别用户、设备和应用程序的网络活动，有效提高整个基础设施的可见性并检测威胁。根据Valuates的研究报告显示：到2027年SIEM的全球市场规模预计将从 2020年的39.4亿美元增长至64.4亿美元，其中持续监控和事件响应、合规要求以及 日志管理等成为主要推动力量。 01 一、企业安全运营行业发展特征/THEFIRSTPART 02态势感知融合发展阶段 态势感知的概念最早主要是由SIEM产品承载，定位于安全日志的统一收集、安全事件分析和审计。态势感知覆盖感知、理解和预测三个层次，随着计算机网络的发 展又提出了“网络态势感知（CyberspaceSituationAwareness，CSA)"，即在大规 模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋 势进行预测，从而帮助决策和行动。2016年以后，受益于国家战略层面的重视，态势 感知进入蓬勃发展期。这其中攻防实战需求和大数据技术能力成为态势感知成功落地的底层驱动力： 从需求角度看，单点防护和已知特征新技术快速发展，海量数据存储与检测等技术已经不能满足复杂的安分析可以以较低成本实现，这为态全形势和实战对抗需求，需要采取更势感知提供了大量技术支撑，大量多样、深层次的综合防御措施；态势感知应用开始出现。 目前，态势感知应用整体来看主要有两个大类：一类是定位于合规需求，以满足等保2.0和行业监管的要求。统一采集、 分析和存储安全日志，用于监控、审计、 统计分析、态势展示和指挥通报等。另一类是满足业务发展的安全需求。侧重于安全运营效果和效率的提升，如高级威胁发现，检测、分析、响应、处置的一体化等。往往需要采用多产品融合战略，最大化降低集成的复杂度，以运营体系应对安全威胁。 THEFIRSTPART一、企业安全运营行业发展特征 随着网络安全复杂性的凸显，态势感知在网络安全领域得到高度重视和广泛应用。未来，态势感知将跟随客户的要求和认知不断变化，总的来看将重点在以下几个方面发力： 业务云化 早期态势感知基本是独立运行，客户之间的信息不关联，云化可以让用户较为方便的获取安全能力和信息，深度挖掘数据的价值。 体化 态势感知体系庞大，功能多样，带来便利的同时，各种安全探针如何合理配置并形成合力，成为大家关注的焦点，因此打造“开箱即用、简单统一、方便使用”的一体化系统，成为未来态势感知发展的关键。 实战化 当前网络安全风险日益严重，尤其是对重大活动保障、攻防演练等场景，需要企业快速精准发现威胁，因此对态势感知能力提出了满足实战化的需求，为此需要态势感知能力能够更广泛的聚合安全能力，尤其是威胁情报能力。 二一、企业安全运营行业发展特征///THEFIRSTPART 03现代SOC创新发展阶段 随若云计异的普及和数字化转型席卷而来，网络威胁呈指数型爆炸增长，威肋源、威励类型、威胁事件加速送代且相互交织利用，隐蔽性和针对性极强，对工具和 事件间的联动协作能力要求越来越高，集成多种安全产品和安全解决方案的现代 化一体安全运营需求越来越强烈。需要进一步整合SIEM、SOAR、TIP、EDR、NDR以 及云上安全解决方案等多种安全产品和解决方案，适应多种环境。为此，现代SOC开始应运而生，现代SOC有效整合多个产品或平台间割裂的数据和响应能力，从预测、防御、检测和响应四个维度构建一体化、智能化、专业化的全面感胁感知与响应 体系，为客户提供更优的威胁检测效果和事件响应效率。现代SOC包含以下四个特 征： 现代SOC作为云端和服务工具化能力更加受关注 企业传统的业务体系和业务环境已经从封闭转向开放，信息化需求不断升级、网络接入方式也更加多元，企业需要借助各种云平台来快速实现业务在线交付，无论是企业内部应用私有云系统，还是业务拓展所需要的公有云系统，都很难避免存在未知的漏洞与安全威胁。因此需要提升企业对安全响应速度，提供一致性高效决策，同时注重与云计算、人工智能和编排能力的使用，给用户提供端到端的安全可视性服务。 THEFIRSTPART一、企业安全运营行业发展特征 威胁情报整合将成为现代SOC的重要组成部分 精准的检测和正确的决策离不开有效的情报信息，威胁情报在现代SOC中具有重要作用，可以帮助云上用户实现事前安全防御，事中事件监测与威胁检测，事后响应处置的一站式、可视化、自动化的云上安全运营管理。在一个有 集成能力、自动化能力和情报运营化能力的现代平台推动下，安全团队可以 到达威胁情报项目的新高度，包括评估检测和响应效果的正反馈情况。同时，企业在对威胁情报的应用过程中，需要要考虑到威胁情报和自身的相关性、集成能力以及自动化能力等因素。 使用安全编排、自动化响应工具，将大大缩短分析和响应时间 根据IBM统计，相比需要耗费100天以上才能识别出数据泄露事件的公司，在100天以内识别出数据泄露事件的公司可节省超过100万美元的成本。为此构建自动化、智能化安全系统和工具已经成为企业构建安全能力的当务之急，自动化工具撞长原因分析，可自动连接不同的潜在事件；人工智能技术能够根据威胁及组织的特定情况统筹安排后续步骤，解决人力问题；此外，自动化和智能化手段可以推动一致且深入的调查，让安全团队能够作出数据驱动型决策，实现工作流与补教流程的完全自动化。 二一、企业安全运营行业发展特征THEFIRSTPART 不同部门之间的协同作用 现代SOC处在是一个复杂多变的环境中，需要使用数十种安全工具和解决方 案以及需要应对不断增长的攻击面。为了应对这些挑战并跟上快速发展的威 胁形势，现代SOC的领导者必须不断努力提高SOC效率并保持团队成员的参与，这其中不仅有安全团队内部的配合，现代SOC团队还需要与其他部门的团队密