投入大量的人力、物力的SOC,为何达不到预期的效果,无法获得更大的用户满意度?究其原因,主要有以下几点:
原因一,云计算架构带来了IT基础建设的巨大变革,传统SOC重点关注的安全防御设备逐步被边缘化。SOC必然要从以往的只关注安全设备的监管,转变为更加深入的对业务安全的监管。
原因二,SOC用户群体更加年轻化,不认同复杂的界面和纯理论教条式的产品。
原因三,Web2.0已经被普遍认可,但SOC却依然固守着传统的Web1.0模式,没有关注用户交互的系统框架的求新变革的需求。
原因四,传统的SOC只会被动地接受日志监控系统性能,不能智能主动地学习新信息。显然,AI智能应用更需要在SOC系统中进行广泛的尝试。
原因五,移动互联网浪潮来袭,SOC系统也需要改变以往沉闷死板的形象。
为了打破SOC的社会需求与实际效果之间存在着巨大的落差,东软发布了最新的SOC5.0,对其系统的底层架构、核心处理引擎、功能模块以及系统展现界面都进行了全新的、颠覆性的设计,打破了以往信息安全产品死板的风格,为用户带来更多的创新应用体验。
分析处理引擎再度升级
在面对海量原始日志信息的采集、存储和分析处理时,传统大集中模式的技术架构往往会遭遇性能瓶颈。为了解决海量原始日志信息的高效处置问题,东软最新版本SOC监控预警系统参考“私有云”的技术架构,构建了一套以自主开发的业务软件为主,由安全设备、系统服务器、中间件和数据库共同组成的SOC5.0“监控云”,将最为耗费资源的原始日志采集存储分析的工作平均分摊到云中,利用云模式,灵活集中整合系统软硬件处理能力,并通过“监控云”的分析,将原始日志信息生成为告警信息传递到中枢神经系统告警分析引擎中,进行深度关联和集中展现。据了解,东软SOC5.0“监控云”不仅具备超海量数据的处理能力,还具备高效的预警展现功能。在海量数据背景下,针对不同类型的威胁特征,它可以在15秒至2分钟内,将告警信息从原始日志信息中快速定位、提取并上报、展现。
东软SOC5.0系统的高效处理能力源自其全新设计的分析模型和多源交叉告警数据分析处理关联策略。通过模糊推理理论及算法,提高告警数据分析的准确性,对环网上报数据进行合理的过滤和归并,以及对监控数据进行深度挖掘与关联展现。在实际环境中,东软SOC5.0系统可以每日轻松处理超过2亿条原始日志信息,并经过系统关联分析将每日告警数量准确定位在200条左右,令监控运维工作可以更高效、可控。
“简单、务实、美”的界面风格
如何用最为清晰简洁、直观而又不冷冰冰的界面去展现安全现状和态势?如何将功能复杂的SOC以简洁、务实的界面进行展示?东软的研发人员称,这是东软在做产品设计时经常会考虑到的问题。本着“简单、务实、美”的设计理念,东软在最新版本的SOC5.0界面设计中做了大量的改进和创新,例如,用晴雨表替代传统的高、中、低来展现告警级别等,目的在于让各个层面的使用者能够真正看懂目前自身系统中的信息安全状况,并快速对问题进行定位和判断。
用户群体的互动垂直沟通
Web2.0时代的系统设计更加关注用户群体的创造力沟通。东软最新版本的SOC5.0系统中就引入了用户的积极互动垂直在线社区等SNS元素。例如它将SOC案例库与用户微博相互关联,令用户之间可以快速分享案例,交换应用体验。这样看,今天的SOC已不再是单纯的告警系统,而是利用其数据采集和用户优势而构建的一整套全新的互联网监控生态系统。
更智能的互联网舆情学习与网站监控
今天的人们已经习惯了通过互联网搜索引擎、门户网站、微博、论坛、文库等方式获取所需知识和信息,因此相应的系统也应该更加的智能化。东软最新版本的SOC5.0系统能够定期实时关注互联网各类预定义初始关键字信息,如某版本系统的漏洞信息补丁、某重要项目的内部名称或某些恶意虚假信息等,通过互联网,将用户关注的舆情信息实时拉取出来。
近年来,网站安全威胁事件频现。东软SOC5.0系统内置全新开发的模拟检测引擎,实现了无客户端的主动探测监控和对超大网站群的性能监控、挂马监控、病毒监控、信息更改以及敏感词监控,并能够对网页中出现的多层次跳转框架地址进行彻底地追踪与分析。利用其动静结合的分析技术和统计模型,它能够对加密、反虚拟机木马病毒实施检测;该套系统还可以通过虚拟安全浏览器,实现对被监测网站页面信息的自动浏览。解析后的网站内置各类脚本语言都将通过虚拟浏览器运行,首先监控异常下载和跨站访问,随后代码会在虚拟内存环境中进行逐行还原和大量特征与异常匹配策略的分析判断,准确识别深入隐藏的页面恶意挂马等。
以SaaS服务替代传统部署
对拥有大型网络结构的用户来说,如何实现信息化实施的有效安全监控与管理一直是其最为关注的问题之一。由于大型网络节点用户众多,专业人员缺乏,整体投入水平参差不齐,部分分支单位信息化投入资金不足,往往只能采购传统的防火墙等网络防御基础设备,而无力购置更为专业的安全监控分析系统,从而导致其缺少统一的安全监控体系,造成信息安全管理的困境。针对上述问题,东软SOC5.0系统给出的解决办法是用总部SaaS服务平台模式替代传统的分支机构的重复自建。通过开放式的自助工作平台,用户能够快速享受SOC系统提供的安全监控服务,而所需花费仅是过去自建形式的三分之一,建设时间也由过去的长达数月变成即刻开通。另外,对信息资产、事件信息的统一维护,令大型网络的主管部门能够更加准确地掌握全网的安全动态,为全网统一态势研判和预警提供更为坚实可信的基础。