【天极网专稿】企业网络运维中心一片安静,一个运维人懒散地面对着几个大大小小的显示屏,一切似乎都尽在掌握。突然一个报警声响起,屏幕上的区域由绿色变成红色,运维人员马上根据自己的经验分析和安全流程开始分析攻击的来源和情况,通过一阵有节奏的键盘敲打声之后,他发现这是一个DDoS攻击,通过已经部署的IPS设备已将其阻断,保险起见,他又调出了网络使用量报告,发现其流量已经占用了大部分的带宽,于是他联系上一级网络运营商请求支援和追查攻击源头......在一系列的措施之后,他成功解决了这波危机,慢条斯理的把这次事件进行记录并开始扫描所有网络节点,清查可能存在的安全漏洞。
以上的情景,是笔者对于安全监控平台(SOC)的初步印象,类似于科幻或商业谍战电影中出现的网络总部一样,是企业保护其信息安全的一个“战略指挥部”。而在信息主导、信息安全如“喉舌”的时代,SOC是充当着这样职能的中心:提供7x24小时无间断的服务,收集日志、监控以及反映安全事件,并且在适当的时机按照流程将事件交给上一层负责人,以及记录、比对,并从中学习。
经过几年的时间,国内的SOC产品也已步入了技术架构、产品功能完善的成熟期。用户对于SOC的认识和需求也在快速提升的阶段,但很多已经建设了SOC的组织机构虽然投入了大量的物力和人力,却没能很好地将系统利用起来,也无法达到原本预期的效果。可见,安全监控预警类产品的社会需求与实际效果之间存在着一定的落差。
另一方面,当前的企业环境中,来自内部的威胁在增加:移动计算和远程访问变得越来越多;无线网络飞速增长,对应用程序访问需求增长,企业内外网络的边界越来越模糊化;员工访问机密信息带来内部威胁的频率持续增高;尤其是云计算和Web2.0等新技术的热潮,泄密的可能性无时不在...... SOC面临着新的挑战。
近日,在东软SOC5.0系统发布之际,笔者专访了东软集团股份有限公司网络安全营销中心副总经理曹鹏,在他眼中,东软SOC肩负了一些新的使命,同时,他也与笔者交流了东软SOC5.0的一些创新之处。
东软集团股份有限公司网络安全营销中心副总经理曹鹏
SOC的“理想与现实”
至今仍有很多人简单地将SOC理解为管着一堆网络安全硬件设备的一个软件系统。据曹鹏介绍,企业上SOC的初衷也很简单:采购的安全设备越来越多,原则上只要新增一套安全设备,企业就要多花1-2人去管理,而这些设备每天还产生大量的系统日志和报警信息,哪些日志是有用的?这成为很多安全运维人员的困扰。在国内IT部门分工不细,企业负责安全的运维人员往往是一个人或者一个团队,而用SOC就是要解决多设备管理的复杂性和信息孤岛的问题。
在SOC经过几年的发展之后,经历了从不成熟到成熟的过程,而曹鹏认为,用户的需求也有了阶段性的变化:“以前客户问可否兼容现有的安全设备,后来客户问是否能兼容国外安全设备,再后来客户问出了安全设备还能不能管其他设备?”
从问题的转变可以看出SOC产品技术的进化。一些兼容的问题已经不成问题了,那问题在哪里?据曹鹏介绍,对于东软来说,难点并不在技术上,任何安全设备都有日志转发,但难在没有通用的格式,国内安全产品与国外安全产品的差异在于版本管理的混乱,没有统一的标准和接口,所以就需要花一定的时间来学习这些格式。
建设SOC的时候面临着整合问题,除了技术之外还有政策、流程、制度、人才等各种问题,导致SOC的实施周期长短不一,此外还在于用户的期待是多少。“有时候很长,过程很痛苦。但是这是基于客户的认知,客户是有追求的,提出问题去改,改完客户还要有犹豫期。”曹鹏说。
如何看待实施SOC是否成功?这是大家都关心的一个现实问题。但并不像其他的项目,SOC没有统一的验收标准。“很难界定什么是成功和失败。是不是日志能全部收集全部解析?那是不是全解析了都关联分析了? 都关联分析了是不是有人看?”曹鹏说,“这里面很难说是产品本身问题还是用户的问题。”
云和SOC的“转身”
云计算将是IT的未来。不知不觉,网络底层的技术被人关注得越来越少,企业将会把逐步把业务应用放在云端。安全边界、域和域的界限模糊了。传统SOC重点关注的安全防御设备逐步被边缘化。SOC要从以往的只关注安全设备的监管,转变为更加深入的对业务安全的监管。
“传统安全设备发展空间有限。”曹鹏对于云计算浪潮下的信息安全产品做了这个肯定的判断。在笔者看来,他的意思是,云计算之下,数据、网络设备越来越集中,传统安全设备的需求量也必然减少;另一方面,移动互联时代,企业级和消费级IT产品和技术在融合,用户更关注数据本身。
依据这个判断,东软致力于将SOC打造成标准的信息管理类产品。互联网的信息量每年以50%的速度增长,所以SOC在做这样的转型:“以前的路很窄,只能管信息安全设备,但今后一定要管到信息本身和业务本身。以前是被动学习,以后要主动去找。”曹鹏认为。
如果说以前SOC更像个网管软件,那么以后将成为企业业务的管家。东软的SOC将关注点放在有价值的信息层面,而不再是底层防御了。“SOC经过五六年,已经翻过了第一座山,未来的挑战刚刚接触到。”曹鹏说。东软SOC5.0新版本,开始积极拓展做互联网信息收集、舆情的监控,同时也在做和业务系统的接口。
据曹鹏透露,最近两年他几乎全身心在做SOC,致力于将SOC打造成东软NetEye的旗舰产品。从投入来看,SOC产品研发团队增加到60余人。他表示,“在国内做安全产品只能最便宜里面最好的。SOC代表了东软NetEye新利润的增长点,从业绩来看,今年SOC销量已经追平了东软传统信息安全设备的销量。”
苹果效应与SOC微创新
说起苹果,能让人想到几个关键词:人性化、用户体验、移动互联。
首先,苹果效应象征着体验时代的到来。
就在“苹果”浪潮席卷了整个IT消费产品产业之后,开始波及了企业级IT产品。“以前的专业化的产品很死板和沉闷,而现在很多安全运维人员是80后、90后,他们对于复杂的界面和纯理论教条式的产品不再认同,专业化的产品为什么不能也时尚一点呢?”据曹鹏介绍,这个想法来自于去年的一个项目,改项目负责人提出要求,想要这个产品让领导看得懂。东软研发人员于是在产品界面展现中进行了创新,用晴雨表替代传统的高、中、低来展现告警级别等,目的在于让各个层面的使用者能够真正看懂目前自身系统中的信息安全状况,并快速对问题进行定位和判断。颠覆了传统,不一定用拓扑图,改为清新、直观的视图设计,把SOC打造成了企业安全的“气象台”。
其次,苹果效应意味着从关注产品本身到关注人的变革。
曹鹏在采访中表示,SOC的竞争关键在于是不是以人为本。5.0版本的系统设计于是更关注用户群体的创造力沟通,引入了用户的积极互动垂直在线社区等SNS元素。“例如它将SOC案例库与用户微博相互关联,令用户之间可以快速分享案例,交换应用体验。这样看,今天的SOC已不再是单纯的告警系统,而是利用其数据采集和用户优势而构建的一整套全新的互联网监控生态系统。”曹鹏说。原来的SOC告警页面设计复杂,关联要设计一层一层的按钮,而新版则用一张图代替几千页的图表。
东软SOC5.0产品功能截图
再次,苹果效应开启了移动互联时代的大门,随时随地上网的习惯在普及。
有一些信息安全控,离开安全系统会寝食难安的,在吃饭或者睡前都想去查看一下服务器状态。“东软SOC将走出机房,用iPhone等移动设备可以随时查看。”曹鹏表示。另据了解,类似于苹果的APP Store,东软SOC5.0系统可以选择用总部SaaS服务平台模式替代传统的分支机构的重复自建。通过开放式的自助工作平台,用户能够快速享受SOC系统提供的安全监控服务,而所需花费仅是过去自建形式的三分之一,建设时间也由过去的长达数月变成即刻开通。
就在采访前几天,微软发布了一则视频,展现下一代办公交互墙、未来实时协作等概念,以及科技如何改变未来(点击收看视频)。也许几年之后,SOC的一个应用场景是:一个运维人员在咖啡厅和朋友聊天,他的移动设备发出了警报声,他的手指在设备上轻轻点了几下就搞定了一次安全事件……
采访手记
和之前采访过的一些安全技术大牛羞于表达不同,曹鹏是一个很健谈的人,由于之后还有发布会,采访在不知不觉中匆匆结束了。
通过采访,笔者也有了一些新的收获:做产品要把眼光放远,既有的概念往往让人倒置了因果。
在新的方向的指引下,东软SOC未来可能面对更多更强大的竞争对手,虽然能否争取到足够的用户还是未知数,但专注和关注用户都是开启成功大门的钥匙。
毕竟,对用户有用,才是真正的价值。