SOC+安全運(yùn)營(yíng)白皮書(shū)

以威脅情報(bào)和攻防對(duì)抗為原子能力，聚焦安全運(yùn)營(yíng)的未來(lái)式>>>報(bào)告顧問(wèn)方斌楊光夫洪春華劉桂澤孫亞?wèn)|傅偉鑌黃羽程碧淳陳沅琳王未來(lái)李國(guó)民劉玲陶夏激齊恒李晨東黃超鄭劍鋒程文杰徐展陳龍潘佳旭方正華許志雄周穎李誠(chéng)歡迎!毒、挖礦木馬、APT攻擊等威脅層出不窮，安全形勢(shì)日益嚴(yán)峻。許多政企機(jī)構(gòu)雖部署了較為完備的基礎(chǔ)安全產(chǎn)品，但防御體系仍以異構(gòu)設(shè)備堆疊式為主，各設(shè)備相互割裂、難以深度協(xié)同，缺乏全局?jǐn)?shù)據(jù)的可見(jiàn)性和主動(dòng)防御能力。面對(duì)指數(shù)級(jí)增長(zhǎng)的威脅和告警，傳統(tǒng)的安全防御往往力不從心。政企機(jī)構(gòu)亟需一款成熟“SOC+安全運(yùn)營(yíng)體系”是騰訊安全面向產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型推出的新理念，強(qiáng)調(diào)以威脅情報(bào)運(yùn)營(yíng)和攻防對(duì)抗為基礎(chǔ)，構(gòu)建起“情報(bào)-攻防-服務(wù)-生態(tài)”的閉環(huán)安全運(yùn)營(yíng)體系。目前，騰訊服務(wù)四大產(chǎn)品矩陣，可支撐政企機(jī)構(gòu)建立起技術(shù)、人員、流程一體化的安全運(yùn)營(yíng)體系，全面提升安全防護(hù)能力和安全運(yùn)營(yíng)效率。未來(lái)，騰訊安全將依托威脅情報(bào)云將騰訊20多年攻防實(shí)戰(zhàn)經(jīng)驗(yàn)、業(yè)內(nèi)頂尖安全實(shí)驗(yàn)室的安全能力、算法算力平臺(tái)的安全大數(shù)據(jù)和Al技術(shù)，持續(xù)賦能并完善騰訊SOC+安全運(yùn)營(yíng)體系，為產(chǎn)業(yè)數(shù)字化升級(jí)保駕護(hù)航。目錄 011.SIEM打造安全工具階段 071.合規(guī)驅(qū)動(dòng) (三)騰訊SOC+安全運(yùn)營(yíng)體系優(yōu)勢(shì) (二)SOC聚焦威脅檢測(cè)與事件響應(yīng) (四)MDR構(gòu)建最佳的安全運(yùn)營(yíng)效果 (一)SOC相關(guān)整體標(biāo)準(zhǔn) (三)SOC標(biāo)準(zhǔn)演進(jìn)趨勢(shì) 六、SOC成熟度模型 (二)SOC成熟度模型實(shí)踐 62八、騰訊SOC+實(shí)踐 65 73 (六)安全服務(wù)托管MSSP平臺(tái) 01安全運(yùn)營(yíng)產(chǎn)業(yè)發(fā)展歷史01SIEM打造安全工具階段分析可以以較低成本實(shí)現(xiàn)，這為態(tài)分析可以以較低成本實(shí)現(xiàn)，這為態(tài)勢(shì)感知提供了大量技術(shù)支撐，大量態(tài)勢(shì)感知融合發(fā)展階段態(tài)勢(shì)感知的概念最早主要是由SIEM產(chǎn)品承載，定位于安全日志的統(tǒng)一收集、安全事件分析和審計(jì)。態(tài)勢(shì)感知覆蓋感知、理解和預(yù)測(cè)三個(gè)層次，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展又提出了“網(wǎng)絡(luò)態(tài)勢(shì)感知(CyberspaceSituationAwareness,CSA)”,即在模網(wǎng)絡(luò)環(huán)境中對(duì)引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的要素進(jìn)行獲取、理解、展示以及對(duì)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，從而幫助決策和行動(dòng)。2016年以后，受益于國(guó)家戰(zhàn)略層面的重視，態(tài)勢(shì)感知進(jìn)入蓬勃發(fā)展期。這其中攻防實(shí)戰(zhàn)需求和大數(shù)據(jù)技術(shù)能力成為態(tài)勢(shì)感知成功落地的底層驅(qū)動(dòng)力：檢測(cè)等技術(shù)已經(jīng)不能滿(mǎn)足復(fù)雜的安目前，態(tài)勢(shì)感知應(yīng)用整體來(lái)看主要有足等保2.0和行業(yè)監(jiān)管的要求。統(tǒng)一采集、分析和存儲(chǔ)安全日志，用于監(jiān)控、審計(jì)、統(tǒng)計(jì)分析、態(tài)勢(shì)展示和指揮通報(bào)等。另一類(lèi)是滿(mǎn)足業(yè)務(wù)發(fā)展的安全需求。側(cè)重于安全運(yùn)營(yíng)效果和效率的提升，如高級(jí)威等。往往需要采用多產(chǎn)品融合戰(zhàn)略，最大化降低集成的復(fù)雜度，以運(yùn)營(yíng)體系應(yīng)對(duì)安全威脅。業(yè)務(wù)云化業(yè)務(wù)云化一體化實(shí)戰(zhàn)化一、企業(yè)安全運(yùn)營(yíng)行業(yè)發(fā)展特征THEFIRSTPART現(xiàn)代SOC創(chuàng)新發(fā)展階段現(xiàn)代現(xiàn)代SOC作為云端和服務(wù)工具化能力更加受關(guān)注 威脅情報(bào)整合將成為現(xiàn)代SOC的重要組成部分使用安全編排、自動(dòng)化響應(yīng)工具，將大大縮短分析和響應(yīng)時(shí)間不同部門(mén)之間的協(xié)同作用企業(yè)加大對(duì)數(shù)據(jù)價(jià)值的挖掘和分析。例如大量企業(yè)通過(guò)數(shù)據(jù)進(jìn)行用戶(hù)畫(huà)像分析、精企業(yè)加大對(duì)數(shù)據(jù)價(jià)值的挖掘和分析。例如大量企業(yè)通過(guò)數(shù)據(jù)進(jìn)行用戶(hù)畫(huà)像分析、精要求對(duì)數(shù)據(jù)的使用要遵守相 、企業(yè)安全運(yùn)營(yíng)行業(yè)發(fā)展特征THEFIRST調(diào)研單位安全運(yùn)營(yíng)中心運(yùn)營(yíng)時(shí)間調(diào)研單位安全運(yùn)營(yíng)中心運(yùn)營(yíng)時(shí)間無(wú)2020年2019年在業(yè)務(wù)安全風(fēng)險(xiǎn)方面在業(yè)務(wù)安全風(fēng)險(xiǎn)方面在建立預(yù)警機(jī)制方面在安全應(yīng)急響應(yīng)方面在安全應(yīng)急響應(yīng)方面在增強(qiáng)安全防護(hù)方面在增強(qiáng)安全防護(hù)方面……………………美國(guó)政府機(jī)構(gòu)部署了全球最早的計(jì)算機(jī)網(wǎng)絡(luò)，安全運(yùn)營(yíng)中心也在這里誕生。早在上世紀(jì)90年代，美國(guó)率先開(kāi)展了態(tài)勢(shì)感知系統(tǒng)的建設(shè)工作。1999年，TimBass提出了態(tài)勢(shì)感知的概念，并將該技術(shù)應(yīng)用于多個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。2012年美國(guó)啟動(dòng)“X計(jì)劃”,構(gòu)建一種實(shí)時(shí)、大規(guī)模的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境，從中了解、規(guī)劃和管理網(wǎng)絡(luò)空間的活動(dòng)。 2.美國(guó)安全運(yùn)營(yíng)特征與演變0∠美國(guó)政府啟動(dòng)愛(ài)因斯坦計(jì)劃，建設(shè)大規(guī)模信息安全監(jiān)控系統(tǒng)，自動(dòng)收集、關(guān)聯(lián)分析和共享政府機(jī)構(gòu)間的安全信息，快速感知和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，增強(qiáng)了美國(guó)政府對(duì)網(wǎng)絡(luò)空間態(tài)勢(shì)感知能力和網(wǎng)絡(luò)安全防御能力。美國(guó)支付卡行業(yè)率先成立了PCI委員會(huì)，要求供應(yīng)商遵守安全和數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。計(jì)算機(jī)事件響應(yīng)小組正式制定了危機(jī)管理程序，并將重點(diǎn)放在早期發(fā)現(xiàn)能力上。同時(shí)，美國(guó)實(shí)施新的泄露告知法，企業(yè)和組織的安全項(xiàng)目開(kāi)始增加，重大數(shù)據(jù)泄露開(kāi)始向公眾披露。美國(guó)提出可信互聯(lián)網(wǎng)連接計(jì)劃，目標(biāo)是將聯(lián)邦政府8000個(gè)網(wǎng)絡(luò)出口歸并為50個(gè)左右。出口整合后，便于進(jìn)行安全設(shè)備統(tǒng)一部署，監(jiān)控和防護(hù)也能做到一體化。隨著進(jìn)展的深入，美國(guó)發(fā)現(xiàn)政府基層的辦事處很難覆蓋完全，又提出了可管理的可信互聯(lián)網(wǎng)協(xié)議服務(wù)?；鶎拥霓k事處可通過(guò)運(yùn)營(yíng)商提供的NBIP-VPN,連接到可信互聯(lián)網(wǎng)協(xié)議服務(wù)的網(wǎng)絡(luò)中，從而完成可信互聯(lián)網(wǎng)連接的《聯(lián)邦信息安全管理必要的、實(shí)時(shí)的且反的動(dòng)態(tài)系統(tǒng)。希望從,動(dòng)態(tài)管理企業(yè)的風(fēng)等一個(gè)靜態(tài)安全控制變換成一個(gè)可以提供以前只能通過(guò)手動(dòng)審。要求各機(jī)構(gòu)持續(xù)監(jiān)漏洞或其它風(fēng)險(xiǎn)點(diǎn)，安全運(yùn)營(yíng)的核心即解決問(wèn)題，通過(guò)提出安美國(guó)咨詢(xún)機(jī)構(gòu)Ponemon發(fā)布針對(duì)SOC的調(diào)研結(jié)果顯示，大多數(shù)公司將SOC視為其網(wǎng)絡(luò)安全策略的關(guān)鍵要素，尤其是在最大程度減少誤報(bào)，以及報(bào)告威脅情報(bào)信息方安全策略至關(guān)重要(31%)或非常重要(42%)。77%的人表示SOC分析師培訓(xùn)“非常一、企業(yè)安全運(yùn)營(yíng)行業(yè)發(fā)展特征研院所和商業(yè)公司共同研發(fā)面向大型服務(wù)的新一代SIEM架構(gòu)，通過(guò)智能(中心將參考美國(guó)國(guó)土安全部的系統(tǒng)經(jīng)驗(yàn)，對(duì)涉及日本國(guó)家安全的道路交日本方面方面 04安全人才短缺，運(yùn)營(yíng)效果難保障安全人才短缺與網(wǎng)絡(luò)安全事件層出不窮的矛盾不人才短缺現(xiàn)象正在逐步擴(kuò)大。另一方面安全團(tuán)隊(duì)在成本與效益方面難以量化平衡，安全風(fēng)險(xiǎn)沒(méi)有暴露前無(wú)法客觀體現(xiàn)工作價(jià)值，導(dǎo)致企業(yè)在沒(méi)有合規(guī)壓力和安缺乏專(zhuān)業(yè)人員，以及先進(jìn)技術(shù)平臺(tái)支撐，企業(yè)在安全運(yùn)營(yíng)體系建設(shè)過(guò)程中，流程制度的建立往往是“事件工作有效性和時(shí)效性的指標(biāo)，安全運(yùn)營(yíng)體系建設(shè)如同“50C+安全運(yùn)營(yíng)體系”01“SOC+”三大進(jìn)階理念 三、“SOC+安全運(yùn)營(yíng)體系”構(gòu)建安全防護(hù)新理念THETHIRDPART>>>50C+安全運(yùn)營(yíng)體系騰訊安全集成化效率提升能力進(jìn)階能力進(jìn)階騰訊“SOC+安全運(yùn)營(yíng)體系”支持更多企業(yè)從“安全建設(shè)”向“安全運(yùn)營(yíng)”轉(zhuǎn)變，由“滿(mǎn)足合規(guī)要求”導(dǎo)向“提升安全能力”,從被動(dòng)式防御過(guò)渡到“原生式”主動(dòng)安全建設(shè)，最終邁進(jìn)具備成熟、智能、可持續(xù)的安全“進(jìn)階優(yōu)化”階段，不斷提升高階安全防護(hù)、安全運(yùn)營(yíng)能力。三、“SOC+安全運(yùn)營(yíng)體系”構(gòu)建安全防護(hù)新理念THETHIRDPART”原子力原子力產(chǎn)品力>>50C+安全運(yùn)營(yíng)全景三、"SOC+安全運(yùn)營(yíng)體系"構(gòu)建安全防護(hù)新理念THE 騰訊SOC+安全運(yùn)營(yíng)體系優(yōu)勢(shì)威脅情報(bào)云打造一站式威脅情報(bào)云打造一站式TIX威脅情報(bào)中心智能化平臺(tái)化SOC能力多技術(shù)融合提升NDR能力MDR構(gòu)建標(biāo)準(zhǔn)化生態(tài)服務(wù)業(yè)需要在數(shù)字原生時(shí)代構(gòu)建新的安全運(yùn)營(yíng)模式，支撐企業(yè)建立現(xiàn)代化安全運(yùn)營(yíng)體于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。四、SOC+安全運(yùn)營(yíng)體系四大進(jìn)階價(jià)值THEFOURTHPART豐富的情報(bào)數(shù)據(jù)源強(qiáng)大的威脅情報(bào)云情報(bào)云端安全能力協(xié)同情報(bào)應(yīng)用多樣化情報(bào)的商業(yè)化價(jià)值 基礎(chǔ)情報(bào)-機(jī)讀情報(bào)/查詢(xún)社區(qū)用戶(hù)資產(chǎn)P 機(jī)管家等市場(chǎng)份額超過(guò)40%的C端產(chǎn)品的惡 應(yīng)用場(chǎng)景：辦公網(wǎng)/生產(chǎn)網(wǎng)失陷檢測(cè)場(chǎng)景：辦公網(wǎng)/生產(chǎn)網(wǎng)失陷檢測(cè)場(chǎng)景：賦能生態(tài)場(chǎng)景自建威脅情報(bào)中心場(chǎng)景事前風(fēng)險(xiǎn)預(yù)防場(chǎng)景 四、SOC+安全運(yùn)營(yíng)體系四大進(jìn)階價(jià)值SOC聚焦威脅檢測(cè)與事件響應(yīng)SOC采用集中管理方式，統(tǒng)一管理企業(yè)ITSOC產(chǎn)品目標(biāo)是支撐客戶(hù)在多云混合云架構(gòu)下，日常運(yùn)營(yíng)和攻防對(duì)抗場(chǎng)景下，統(tǒng)集成安全專(zhuān)家經(jīng)驗(yàn)和AI能力集成安全專(zhuān)家經(jīng)驗(yàn)和AI能力 集成安全專(zhuān)家集成安全專(zhuān)家適應(yīng)數(shù)字化處理能力適應(yīng)數(shù)字化轉(zhuǎn)型需要具備權(quán)威的威脅運(yùn)營(yíng)安全的評(píng)價(jià)體系供數(shù)據(jù)遙測(cè)、安全檢測(cè)、威脅狩獵、調(diào)查分析、聯(lián)動(dòng)響應(yīng)、安全可視等威脅閉環(huán)運(yùn)營(yíng)能騰訊50C功能架構(gòu)圖騰訊50C功能架構(gòu)圖預(yù)測(cè)防御|聚焦TDIRTDIRTDIR示意圖<100/天事件/日志海量大數(shù)據(jù)分析和處理能力完備的安全評(píng)價(jià)體系A(chǔ)TT&CK集成專(zhuān)家經(jīng)驗(yàn)+AI實(shí)現(xiàn)自動(dòng)調(diào)查和響應(yīng)應(yīng)用場(chǎng)景：多云/混合云/多租戶(hù)統(tǒng)一安全運(yùn)營(yíng)日常運(yùn)營(yíng)、等保合規(guī)場(chǎng)景實(shí)戰(zhàn)攻防、安全態(tài)勢(shì)感知內(nèi)部威脅與違規(guī)大型集團(tuán)、組織多級(jí)平臺(tái)級(jí)聯(lián)監(jiān)管 實(shí)時(shí)更新安全能力高級(jí)持續(xù)性威脅、未知威脅發(fā)現(xiàn)能力實(shí)現(xiàn)網(wǎng)絡(luò)層自動(dòng)化響應(yīng)閉環(huán)支持事件歸并、分析、取證支持互聯(lián)網(wǎng)側(cè)及內(nèi)網(wǎng)側(cè)的流量威脅檢測(cè)覆蓋混合云等多種場(chǎng)景幫助發(fā)現(xiàn)業(yè)務(wù)相關(guān)的安全風(fēng)險(xiǎn) >>>騰訊TDR網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)產(chǎn)品結(jié)構(gòu)圖騰訊安全威脅檢測(cè)soc深度分析 產(chǎn)品與威脅情報(bào)聯(lián)合應(yīng)用API查詢(xún)高級(jí)威脅行為及時(shí)報(bào)警2全網(wǎng)信息收集23精準(zhǔn)定位失陷行為圖7提升NDR與威脅情報(bào)聯(lián)動(dòng)效果 應(yīng)用場(chǎng)景：攻防演練、重保場(chǎng)景攻防演練、重保場(chǎng)景云上/云下/混合云全網(wǎng)流量檢測(cè)與響應(yīng)云上/云下/混合云全網(wǎng)流量檢測(cè)與響應(yīng)勒索病毒、挖礦木馬防護(hù)勒索病毒、挖礦木馬防護(hù) MDR構(gòu)建最佳的安全運(yùn)營(yíng)效果強(qiáng)大的工具為服務(wù)支撐>>>強(qiáng)大的工具為服務(wù)支撐>>>2云端能力提供服務(wù)支持>>>03可廣泛覆蓋的服務(wù)范圍>>>效果可量化的服務(wù)內(nèi)容>>> 云端能力賦能強(qiáng)大的安全工具云端能力賦能完善的服務(wù)生態(tài)交鑰匙方式的標(biāo)準(zhǔn)化的服務(wù)包伴),建立起覆蓋全國(guó)范圍的服工作流程調(diào)研、確認(rèn)三線(xiàn)技術(shù)專(zhuān)家三線(xiàn)技術(shù)專(zhuān)家培訓(xùn)賦能騰訊安全運(yùn)營(yíng)服務(wù)(MDR)標(biāo)準(zhǔn)化服務(wù)包可以作為訂閱式的服務(wù)，提供以下 四、SOC+安全運(yùn)營(yíng)體系四大進(jìn)階價(jià)值THEFOURTHPART◎◎日常運(yùn)營(yíng)安全策略?xún)?yōu)化服務(wù)提供日常運(yùn)營(yíng)期間安全日志對(duì)接、安全事件分級(jí)分類(lèi)、場(chǎng)景化威脅建模、自動(dòng)化聯(lián)動(dòng)處置等安全策略持續(xù)優(yōu)化，根據(jù)客戶(hù)實(shí)際情況建立安全運(yùn)營(yíng)評(píng)價(jià)體系，通過(guò)安全運(yùn)營(yíng)報(bào)告量化呈現(xiàn)安全運(yùn)營(yíng)效果改進(jìn)安全運(yùn)營(yíng)指標(biāo)(如：MTTR、MTTD),從而提升客戶(hù)安全運(yùn)營(yíng)成熟度?；谕{檢測(cè)和資產(chǎn)脆弱性的安全風(fēng)險(xiǎn)評(píng)估框架，及時(shí)預(yù)測(cè)、發(fā)現(xiàn)安全威脅，將安全威脅以安全風(fēng)險(xiǎn)分析報(bào)告的形式直觀的呈現(xiàn)給客戶(hù)，針對(duì)發(fā)現(xiàn)的安全威脅給出具體的處置建議并協(xié)助客戶(hù)閉環(huán)處置，對(duì)已知威脅和未知威脅的進(jìn)行有效的管理。提升安全運(yùn)營(yíng)成熱度圖9SOC+產(chǎn)品配套標(biāo)準(zhǔn)化服務(wù)落地安全運(yùn)營(yíng)效果圖THEFIFTHPART五、SOC標(biāo)準(zhǔn)加快應(yīng)01SOC相關(guān)整體標(biāo)準(zhǔn)平臺(tái)能力建設(shè)人員能力建設(shè) 五、SOC標(biāo)準(zhǔn)加快應(yīng)用落地THEFIFTHPART02重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)制定情況整體態(tài)勢(shì)展示專(zhuān)題態(tài)勢(shì)展示監(jiān)測(cè)告警安全預(yù)警態(tài)勢(shì)報(bào)告數(shù)據(jù)處理規(guī)劃管理金態(tài)勢(shì)展示數(shù)據(jù)交換接口數(shù)據(jù)分析接口聯(lián)動(dòng)處置接口資產(chǎn)管理金數(shù)據(jù)共享數(shù)據(jù)采集數(shù)據(jù)預(yù)處理網(wǎng)絡(luò)攻擊分析資產(chǎn)風(fēng)險(xiǎn)分析威脅信息管理數(shù)據(jù)存儲(chǔ)異常行為分析安全事件分析影響網(wǎng)絡(luò)安全態(tài)勢(shì)資源管理策略管理數(shù)據(jù)分析模型管理安全事件管理應(yīng)急處置安全決策標(biāo)準(zhǔn)加快應(yīng)用落地 基于SOC的安全運(yùn)營(yíng)模式仍在不斷發(fā)展演變中，企業(yè)關(guān)心如何評(píng)估自身安全正在施行的安全運(yùn)營(yíng)模式是否高效、安全、可靠。國(guó)內(nèi)外關(guān)于SOC的建設(shè)也缺少評(píng)判依據(jù)，需要建立成熟度模型來(lái)判斷其發(fā)展程度。因此，大量企業(yè)都迫切希望能夠有更加科學(xué)的方法來(lái)評(píng)估自身SOC安全運(yùn)營(yíng)模式的成熟度，幫助企業(yè)更清楚地定位自身在后疫情時(shí)代安全領(lǐng)域的發(fā)展水平，以及持續(xù)發(fā)展和優(yōu)化的方向。若需要深刻理解和評(píng)判企業(yè)SOC安全運(yùn)營(yíng)模式成熟度，不僅需要安全的視角，也需要業(yè)務(wù)的視角，來(lái)共同解構(gòu)SOC。為此，我們認(rèn)為SOC成熟度模L5L5成熟階段具備安全運(yùn)營(yíng)自動(dòng)化、智能化，實(shí)現(xiàn)自適L3運(yùn)行階段以安全的能力建設(shè)和標(biāo)準(zhǔn)化L2基礎(chǔ)階段滿(mǎn)足安全的規(guī)劃建設(shè)與L1初始階段企業(yè)部署了基本的安全L4體系階段實(shí)現(xiàn)安全體系化建設(shè)和級(jí)別在初始建設(shè)階段，安全建設(shè)以預(yù)防為主，具有防火墻、防病毒系統(tǒng)運(yùn)維能力。但是資產(chǎn)不清晰、缺少漏洞管理機(jī)制，對(duì)整體安全威脅不可見(jiàn)，沒(méi)有事件響應(yīng)處置流程，同時(shí)缺乏頂層設(shè)計(jì)和運(yùn)維團(tuán)隊(duì)，沒(méi)有和業(yè)務(wù)進(jìn)行融合。安全建設(shè)以合規(guī)為主，具備安全監(jiān)控人員，有資產(chǎn)管理動(dòng)作及漏洞管理認(rèn)知，對(duì)安全威脅有一定可見(jiàn)性，基本滿(mǎn)足安全合規(guī)要求，但不具備與威脅事件深入分析的能力，沒(méi)有建立成熟的事件響應(yīng)流程和機(jī)制，同時(shí)缺乏頂層設(shè)計(jì)，沒(méi)有和業(yè)務(wù)進(jìn)行融合。安全運(yùn)營(yíng)團(tuán)隊(duì)各崗位職責(zé)明確，資產(chǎn)管理及漏洞管理已形成常態(tài)化流程與機(jī)制，具備威脅監(jiān)測(cè)、分析及事件處置能力，對(duì)整體安全威脅態(tài)勢(shì)可見(jiàn)，有成熟的事件響應(yīng)流程，具備初步的量化管理能力。但缺乏頂層設(shè)計(jì)，沒(méi)有和業(yè)務(wù)進(jìn)行深度融合。具有安全事件響應(yīng)中心或安全運(yùn)營(yíng)中心等安全運(yùn)營(yíng)常態(tài)組織，運(yùn)營(yíng)團(tuán)隊(duì)各崗位之間緊密配合，資產(chǎn)、漏洞等基礎(chǔ)工作扎實(shí)有效，能夠高效地開(kāi)展監(jiān)測(cè)、響應(yīng)、處置、調(diào)查取證分析工作，能夠積極主動(dòng)挖掘威脅情報(bào)，能夠應(yīng)對(duì)高級(jí)別的安全攻擊(APT等),具有完善人員培養(yǎng)和量化考核機(jī)制，安全運(yùn)營(yíng)流程完善，部門(mén)間協(xié)同效率高。成熟階段具備頂層的安全戰(zhàn)略規(guī)劃和設(shè)計(jì)，在公司內(nèi)部達(dá)成共識(shí)。除了“體系階段”安全能力外，能夠有機(jī)協(xié)同安全團(tuán)隊(duì)和業(yè)務(wù)部門(mén)自動(dòng)化、智能化和自適應(yīng)應(yīng)對(duì)高級(jí)威脅，最大化減少人工參與、提升效率。還具備網(wǎng)絡(luò)取證分析和威脅情報(bào)收集能力，能夠發(fā)現(xiàn)未知威脅，能夠使用自動(dòng)化工具或手段開(kāi)展7x24小時(shí)安全監(jiān)測(cè)、事件響應(yīng)處置工作，能夠應(yīng)對(duì)高級(jí)安全威脅(APT)。安全運(yùn)營(yíng)工作有全面的可量化指標(biāo)，高效有序。戰(zhàn)略規(guī)劃運(yùn)營(yíng)維護(hù)公司發(fā)展的重要組成部分，制定相關(guān)的公司發(fā)展路線(xiàn)，設(shè)計(jì)相關(guān)的公司架構(gòu)，并有效地將安全運(yùn)營(yíng)對(duì)于公司的重要性和定位傳達(dá)給公司公司業(yè)務(wù)及SOC安全運(yùn)營(yíng)體系相關(guān)的方針與底層支持緊密配合，使得公司的所有業(yè)務(wù)能夠在SOC安全運(yùn)營(yíng)保障下順暢持續(xù)進(jìn)行，且員工理解SOC安全運(yùn)營(yíng)的理念、重要性與相關(guān)的操作合規(guī)管理合規(guī)管理行業(yè)政策規(guī)范要求是企業(yè)開(kāi)展安全能力建設(shè)的關(guān)的一整套規(guī)章制度，以確?；旌限k公安全的公司配備SOC安全運(yùn)營(yíng)體系所需的專(zhuān)門(mén)技術(shù)開(kāi) 六、SOC成熟度模型THESIXTHPART戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃√√成熟階段安全技術(shù)體系安全技術(shù)體系體系安全運(yùn)營(yíng)122-2.99基礎(chǔ)階段：滿(mǎn)足安全和規(guī)劃建設(shè)與維護(hù)345成熟階段：具備完善的安全運(yùn)營(yíng)能力及技術(shù)和管理探索 我們以一家金融機(jī)構(gòu)A為例，運(yùn)用SOC安全成熟度模型進(jìn)行評(píng)估。金融機(jī)構(gòu)A目前有2000名員工，8個(gè)業(yè)務(wù)部門(mén)和3個(gè)職能部門(mén)，企業(yè)對(duì)安全工作較為重視。2022年，金融機(jī)構(gòu)A開(kāi)始打造SOC安全運(yùn)營(yíng)體系，并將SOC安全運(yùn)營(yíng)體系工作上升該企業(yè)有明確的SOC發(fā)展目標(biāo)，公司從戰(zhàn)略層面制定架構(gòu)體現(xiàn)了對(duì)整個(gè)工作 公司在開(kāi)始構(gòu)建SOC體系指出，將合規(guī)放在第一位，因此得分為4分。有SOC安全相關(guān)負(fù)責(zé)人，但尚未在核心業(yè)務(wù)部門(mén)和職能部門(mén)設(shè)立對(duì)接人，團(tuán)隊(duì)在SOC安全體系中，搭建了SOC、TIX的融合應(yīng)用，但NDR覆蓋面不足，且MDR有專(zhuān)門(mén)的運(yùn)維團(tuán)隊(duì)，但是各數(shù)據(jù)源相互尚未打通，運(yùn)維支持但并未覆蓋整個(gè)公計(jì)算整體得分：該企業(yè)的整體得分=2(戰(zhàn)略計(jì)算整體得分：該企業(yè)的整體得分=2(戰(zhàn)略規(guī)劃)*20%+3(業(yè)務(wù)支撐得分)*20%+4(合規(guī)管理得分)*15%+3(團(tuán)隊(duì)配置得分)*15%+3(技術(shù)運(yùn)維得分)*15%+3(運(yùn)維保障得分)*15%=2.95 該企業(yè)的整體SOC結(jié)論與分析：成熟度評(píng)分為2.95,屬于基礎(chǔ)階段。七、未來(lái)展望THESEVENTHPART備安全大數(shù)據(jù)及Al技術(shù)積累，為企業(yè)構(gòu)建安全戰(zhàn)01混合多云統(tǒng)一安全運(yùn)營(yíng)中心 整個(gè)集團(tuán)安全建設(shè)沒(méi)有統(tǒng)一規(guī)劃，無(wú)有效手段進(jìn)行統(tǒng)一安全監(jiān) 分支機(jī)構(gòu)和集團(tuán)網(wǎng)絡(luò)安全建設(shè)分裂，安全攻防與安全運(yùn)營(yíng)能力 無(wú)法直觀的可視化呈現(xiàn)各子單位的安全能力建設(shè)情況及安全 可是大屏呈現(xiàn)可是大屏呈現(xiàn)定制化安全運(yùn)營(yíng)指標(biāo)大屏騰訊威脅情報(bào)中心數(shù)十種設(shè)備日志數(shù)下屬單位：安全運(yùn)營(yíng)中心CMDB系統(tǒng)日志中臺(tái)權(quán)限中心用戶(hù)行為中心HR系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)影響網(wǎng)絡(luò)安全態(tài)勢(shì)感知的要素私有云八、騰訊SOC+實(shí)踐多源異構(gòu)數(shù)據(jù)范式化處理和綜全工作團(tuán)隊(duì)獨(dú)立安全運(yùn)營(yíng)的能通過(guò)混合多云統(tǒng)一安全運(yùn)營(yíng)中心的建設(shè)，與集團(tuán)安全建設(shè)戰(zhàn)略規(guī)劃緊密結(jié)合，助力客戶(hù)安全戰(zhàn)略目標(biāo)落地；實(shí)現(xiàn)與集團(tuán)業(yè)務(wù)深度結(jié)合，幫助客戶(hù)全面掌握集團(tuán)安全標(biāo)，促進(jìn)總部和下屬機(jī)構(gòu)的安全運(yùn)營(yíng)成熟度，提升安全運(yùn)營(yíng)團(tuán)隊(duì)的安全運(yùn)營(yíng)能力。簡(jiǎn)化客戶(hù)安全運(yùn)維管理，幫助客戶(hù)從每天處理超過(guò)百萬(wàn)的安全告警中解脫；依托智能準(zhǔn)確的安全運(yùn)營(yíng)平臺(tái)，使需要人工分析的安全告警驟降到個(gè)位數(shù)；與客戶(hù)業(yè)命周期閉環(huán)。云端威脅情報(bào)中心進(jìn)行7*24小時(shí)在線(xiàn)檢測(cè)和響應(yīng)，減少威脅停留時(shí)間，及時(shí)發(fā)現(xiàn)并控制事件，防深度威脅分析，聯(lián)動(dòng)響應(yīng)與處置，并結(jié)合安全運(yùn)營(yíng)標(biāo)準(zhǔn)化服務(wù)對(duì)安全事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)發(fā)生的重大安全事件進(jìn)行回溯分析，實(shí)現(xiàn)及時(shí)處置、止威脅情報(bào)等手段，進(jìn)行平臺(tái)暴露面分析，監(jiān)控外部面對(duì)持續(xù)攻擊，降低受攻八、騰訊SOC+實(shí)踐某大型企業(yè)的數(shù)字資產(chǎn)在企業(yè)商業(yè)活動(dòng)起著關(guān)鍵作用。為了保護(hù)數(shù)字資產(chǎn)，企業(yè)在主備兩個(gè)數(shù)據(jù)中心部署了大量的安全防護(hù)產(chǎn)品，但仍然不時(shí)出現(xiàn)入侵成功的事件。現(xiàn)有安全防護(hù)體系無(wú)法應(yīng)對(duì)高級(jí)可持續(xù)性(APT)攻擊，需要針對(duì)高級(jí)威脅攻擊檢測(cè)場(chǎng)景做全面覆蓋，實(shí)現(xiàn)大流量集中實(shí)時(shí)的高級(jí)威脅檢測(cè)分析。面臨的挑戰(zhàn)如下：難檢測(cè)人檢測(cè)人 騰訊NDR網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)系統(tǒng)，在日常運(yùn)營(yíng)過(guò)程中，作為唯一全網(wǎng)流量檢測(cè)設(shè)備，通過(guò)獨(dú)有的Al引擎、安全專(zhuān)題、威脅情報(bào)能力對(duì)比客戶(hù)已部署的WAF、終端安全、防火墻、蜜罐類(lèi)產(chǎn)品提供了高級(jí)威脅檢測(cè)能力，具體實(shí)現(xiàn)效果：集中大流量分析，全網(wǎng)全態(tài)勢(shì)實(shí)時(shí)掌握云端威脅情報(bào)與本地產(chǎn)品聯(lián)動(dòng)賦析研判效率1.項(xiàng)目背景圖安全運(yùn)營(yíng)和分析八、騰訊SOC+實(shí)踐3.方案價(jià)值 某集團(tuán)是一家世界500強(qiáng)公司，隨著業(yè)務(wù)的快速擴(kuò)張，面向互聯(lián)網(wǎng)側(cè)開(kāi)放的業(yè)務(wù)也逐步增多，這樣就