投入大量的人力、物力的SOC,為何達不到預期的效果,無法獲得更大的用戶滿意度?究其原因,主要有以下幾點:
原因一,云計算架構帶來了IT基礎建設的巨大變革,傳統SOC重點關注的安全防御設備逐步被邊緣化。SOC必然要從以往的只關注安全設備的監管,轉變為更加深入的對業務安全的監管。
原因二,SOC用戶群體更加年輕化,不認同復雜的界面和純理論教條式的產品。
原因三,Web2.0已經被普遍認可,但SOC卻依然固守著傳統的Web1.0模式,沒有關注用戶交互的系統框架的求新變革的需求。
原因四,傳統的SOC只會被動地接受日志監控系統性能,不能智能主動地學習新信息。顯然,AI智能應用更需要在SOC系統中進行廣泛的嘗試。
原因五,移動互聯網浪潮來襲,SOC系統也需要改變以往沉悶死板的形象。
為了打破SOC的社會需求與實際效果之間存在著巨大的落差,東軟發布了最新的SOC5.0,對其系統的底層架構、核心處理引擎、功能模塊以及系統展現界面都進行了全新的、顛覆性的設計,打破了以往信息安全產品死板的風格,為用戶帶來更多的創新應用體驗。
分析處理引擎再度升級
在面對海量原始日志信息的采集、存儲和分析處理時,傳統大集中模式的技術架構往往會遭遇性能瓶頸。為了解決海量原始日志信息的高效處置問題,東軟最新版本SOC監控預警系統參考“私有云”的技術架構,構建了一套以自主開發的業務軟件為主,由安全設備、系統服務器、中間件和數據庫共同組成的SOC5.0“監控云”,將最為耗費資源的原始日志采集存儲分析的工作平均分攤到云中,利用云模式,靈活集中整合系統軟硬件處理能力,并通過“監控云”的分析,將原始日志信息生成為告警信息傳遞到中樞神經系統告警分析引擎中,進行深度關聯和集中展現。據了解,東軟SOC5.0“監控云”不僅具備超海量數據的處理能力,還具備高效的預警展現功能。在海量數據背景下,針對不同類型的威脅特征,它可以在15秒至2分鐘內,將告警信息從原始日志信息中快速定位、提取并上報、展現。
東軟SOC5.0系統的高效處理能力源自其全新設計的分析模型和多源交叉告警數據分析處理關聯策略。通過模糊推理理論及算法,提高告警數據分析的準確性,對環網上報數據進行合理的過濾和歸并,以及對監控數據進行深度挖掘與關聯展現。在實際環境中,東軟SOC5.0系統可以每日輕松處理超過2億條原始日志信息,并經過系統關聯分析將每日告警數量準確定位在200條左右,令監控運維工作可以更高效、可控。
“簡單、務實、美”的界面風格
如何用最為清晰簡潔、直觀而又不冷冰冰的界面去展現安全現狀和態勢?如何將功能復雜的SOC以簡潔、務實的界面進行展示?東軟的研發人員稱,這是東軟在做產品設計時經常會考慮到的問題。本著“簡單、務實、美”的設計理念,東軟在最新版本的SOC5.0界面設計中做了大量的改進和創新,例如,用晴雨表替代傳統的高、中、低來展現告警級別等,目的在于讓各個層面的使用者能夠真正看懂目前自身系統中的信息安全狀況,并快速對問題進行定位和判斷。
用戶群體的互動垂直溝通
Web2.0時代的系統設計更加關注用戶群體的創造力溝通。東軟最新版本的SOC5.0系統中就引入了用戶的積極互動垂直在線社區等SNS元素。例如它將SOC案例庫與用戶微博相互關聯,令用戶之間可以快速分享案例,交換應用體驗。這樣看,今天的SOC已不再是單純的告警系統,而是利用其數據采集和用戶優勢而構建的一整套全新的互聯網監控生態系統。
更智能的互聯網輿情學習與網站監控
今天的人們已經習慣了通過互聯網搜索引擎、門戶網站、微博、論壇、文庫等方式獲取所需知識和信息,因此相應的系統也應該更加的智能化。東軟最新版本的SOC5.0系統能夠定期實時關注互聯網各類預定義初始關鍵字信息,如某版本系統的漏洞信息補丁、某重要項目的內部名稱或某些惡意虛假信息等,通過互聯網,將用戶關注的輿情信息實時拉取出來。
近年來,網站安全威脅事件頻現。東軟SOC5.0系統內置全新開發的模擬檢測引擎,實現了無客戶端的主動探測監控和對超大網站群的性能監控、掛馬監控、病毒監控、信息更改以及敏感詞監控,并能夠對網頁中出現的多層次跳轉框架地址進行徹底地追蹤與分析。利用其動靜結合的分析技術和統計模型,它能夠對加密、反虛擬機木馬病毒實施檢測;該套系統還可以通過虛擬安全瀏覽器,實現對被監測網站頁面信息的自動瀏覽。解析后的網站內置各類腳本語言都將通過虛擬瀏覽器運行,首先監控異常下載和跨站訪問,隨后代碼會在虛擬內存環境中進行逐行還原和大量特征與異常匹配策略的分析判斷,準確識別深入隱藏的頁面惡意掛馬等。
以SaaS服務替代傳統部署
對擁有大型網絡結構的用戶來說,如何實現信息化實施的有效安全監控與管理一直是其最為關注的問題之一。由于大型網絡節點用戶眾多,專業人員缺乏,整體投入水平參差不齊,部分分支單位信息化投入資金不足,往往只能采購傳統的防火墻等網絡防御基礎設備,而無力購置更為專業的安全監控分析系統,從而導致其缺少統一的安全監控體系,造成信息安全管理的困境。針對上述問題,東軟SOC5.0系統給出的解決辦法是用總部SaaS服務平臺模式替代傳統的分支機構的重復自建。通過開放式的自助工作平臺,用戶能夠快速享受SOC系統提供的安全監控服務,而所需花費僅是過去自建形式的三分之一,建設時間也由過去的長達數月變成即刻開通。另外,對信息資產、事件信息的統一維護,令大型網絡的主管部門能夠更加準確地掌握全網的安全動態,為全網統一態勢研判和預警提供更為堅實可信的基礎。
