當(dāng)前安全工具并不能應(yīng)對(duì)所有的數(shù)據(jù)的問(wèn)題：OpenSOC呼吁大數(shù)據(jù)技術(shù)和開(kāi)源技術(shù)。

幾年前，行業(yè)媒體DarkReading的執(zhí)行編輯凱利•杰克遜•希金斯表示安全專(zhuān)家最想知道，但不想承認(rèn)的事，“有越來(lái)越多的宿命感：它不再是如果或當(dāng)你遭受過(guò)黑客攻擊，而其前提是假設(shè)你必須已經(jīng)被攻擊，重點(diǎn)是盡量減少損害。”

然而這不是數(shù)據(jù)中心運(yùn)營(yíng)商所希望聽(tīng)到的。

不要放棄

技術(shù)先進(jìn)的對(duì)手顯然有能力戰(zhàn)勝當(dāng)前最佳實(shí)踐安全系統(tǒng)，這可能助長(zhǎng)人們這種無(wú)能為力的感覺(jué)。然而，思科公司為了其信用并不準(zhǔn)備放棄。思科服務(wù)公司2014發(fā)布《托管威脅防御》旨在保護(hù)客戶(hù)免受已知的入侵，零日攻擊和高級(jí)持續(xù)性威脅。

思科公司產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（PSIRT）首席工程師奧馬爾•桑托斯表示，為了使托管威脅防御具備可行的威懾力，思科制定了以下規(guī)則（博客文章）：

•能夠捕獲完整的數(shù)據(jù)包級(jí)數(shù)據(jù)，并提取協(xié)議元數(shù)據(jù)，以創(chuàng)建每個(gè)客戶(hù)網(wǎng)絡(luò)的獨(dú)特配置文件。

•全球網(wǎng)絡(luò)安全運(yùn)營(yíng)中心將獲得黑客的活動(dòng)警報(bào)

•該技術(shù)將警報(bào)數(shù)據(jù)，企業(yè)的資料，以及思科的威脅情報(bào)結(jié)合在一起，創(chuàng)建一個(gè)行動(dòng)計(jì)劃

幾乎同時(shí)，思科分析師注意到，報(bào)警數(shù)據(jù)需要處理量遠(yuǎn)遠(yuǎn)超過(guò)他們的設(shè)想。其服務(wù)的客戶(hù)數(shù)據(jù)泛濫，其中包括一些大型企業(yè)組織。分析師不能從簡(jiǎn)單的日志條目分離出重要的信息。

現(xiàn)有的方法太慢

由于捕獲的數(shù)據(jù)量，對(duì)手能夠利用一些時(shí)間來(lái)分析英特爾，并制定響應(yīng)所需的長(zhǎng)度。“如果產(chǎn)生一個(gè)突破口，泄露敏感的客戶(hù)信息，或知識(shí)產(chǎn)權(quán)受到損害，企業(yè)業(yè)的聲譽(yù)、資源、知識(shí)產(chǎn)權(quán)則面臨更大的風(fēng)險(xiǎn)。”對(duì)于思科公司這個(gè)博客文章，思科安全解決方案前經(jīng)理人巴勃羅•薩拉薩爾解釋說(shuō)。“快速識(shí)別和解決問(wèn)題的關(guān)鍵，但傳統(tǒng)的方法來(lái)安全事故的調(diào)查可能會(huì)很耗時(shí)。”

據(jù)薩拉薩爾傳統(tǒng)方法需要研究：

•從安全事故和事件管理報(bào)告（以及運(yùn)行批查詢(xún)的其他情況下的其他遙測(cè)源）

•外部威脅情報(bào)來(lái)源，以揭露主動(dòng)警告潛在的攻擊

•為了確定背景下的網(wǎng)絡(luò)取證工具全包捕獲和歷史紀(jì)錄

為了應(yīng)對(duì)數(shù)據(jù)過(guò)載，以及為客戶(hù)提供更好的服務(wù)托管威脅防御，思科公司和Hortonworks公司開(kāi)發(fā)了安全分析框架OpenSOC。

分析平臺(tái)

OpenSOC架構(gòu)（Cisco和OpenSOC項(xiàng)目）

OpenSOC采用大數(shù)據(jù)分析和機(jī)器，提供了一個(gè)應(yīng)用程序異常檢測(cè)和事件取證平臺(tái)，“通過(guò)集成在Hadoop生態(tài)系統(tǒng)，如Storm、Kafka,以及Elasticsearch；OpenSOC提供一種整合能力的可擴(kuò)展的平臺(tái)，如全方位捕獲索引，存儲(chǔ)，數(shù)據(jù)豐富，流處理，批量處理，實(shí)時(shí)搜索，以及遙測(cè)聚集。”薩拉薩爾說(shuō)，“它還提供了一個(gè)集中的平臺(tái)，使安全分析師檢測(cè)和快速應(yīng)對(duì)先進(jìn)的安全威脅。”

OpenSOC關(guān)鍵要素

為了將原始數(shù)據(jù)轉(zhuǎn)化為可操作的信息，盡快，薩拉薩爾表示OpenSOC開(kāi)發(fā)團(tuán)隊(duì)專(zhuān)注于三個(gè)關(guān)鍵要素：

•語(yǔ)境：

企業(yè)的首要任務(wù)是管理捕獲的大量數(shù)據(jù)。“OpenSOC攝取的數(shù)據(jù)并將其推送至各個(gè)處理單元的先進(jìn)計(jì)算和分析，提供安全保護(hù)的必要環(huán)境和高效的信息存儲(chǔ)能力，”薩拉薩爾寫(xiě)道。“它提供可視性和成功的調(diào)查，修復(fù)和取證工作所需的信息。”

•實(shí)時(shí)

分析數(shù)據(jù)與實(shí)時(shí)數(shù)據(jù)一樣重要，搞清楚什么是可操作的數(shù)據(jù)。這意味著，在大規(guī)模應(yīng)用威脅智能感知系統(tǒng)，地理定位，以及DNS信息的收集的數(shù)據(jù)。如果它能工作，分析師可以根據(jù)準(zhǔn)確及時(shí)的信息做出決定。

•集中視角

如果沒(méi)有一個(gè)可以理解的格式，可以快速準(zhǔn)確地獲得正確的信息。“該接口呈現(xiàn)出了威脅情報(bào)和豐富的數(shù)據(jù)，在一個(gè)單一的頁(yè)面發(fā)布警告摘要。”薩拉薩爾補(bǔ)充說(shuō)。“先進(jìn)的搜索功能和完整的數(shù)據(jù)包提取工具可用于調(diào)查，而無(wú)需在多個(gè)工具之間進(jìn)行周轉(zhuǎn)。”

簡(jiǎn)單地說(shuō)，薩拉薩爾指出的是，通過(guò)使用OpenSOC，安全分析師可以通過(guò)一個(gè)單一的工具瀏覽他們的重要數(shù)據(jù)，并避免艱難應(yīng)對(duì)海量的非結(jié)構(gòu)化數(shù)據(jù)。“它可以根據(jù)采集和查看任何遙測(cè)，無(wú)論是專(zhuān)門(mén)的醫(yī)療設(shè)備或銷(xiāo)售設(shè)備的定制點(diǎn)，”薩拉薩爾建議說(shuō)，“通過(guò)利用Hadoop，OpenSOC還具有積木規(guī)模的數(shù)據(jù)收集、存儲(chǔ)量，并分析了基于網(wǎng)絡(luò)的需要。”

一個(gè)開(kāi)源項(xiàng)目

2014年，思科和Hortonworks公司發(fā)布開(kāi)源的OpenSOC。不久后，該OpenSOC項(xiàng)目啟動(dòng)，“該OpenSOC項(xiàng)目是一個(gè)協(xié)作開(kāi)發(fā)項(xiàng)目，致力于提供一個(gè)可擴(kuò)展的先進(jìn)的安全分析工具。”OpenSOC項(xiàng)目網(wǎng)站上表示，“ApacheHadoop框架具有堅(jiān)實(shí)的基礎(chǔ)，并重視以高品質(zhì)社區(qū)為基礎(chǔ)的開(kāi)放源碼開(kāi)發(fā)。”

目前OpenSOC框架提供以下功能：

•用于連接OpenSOC擴(kuò)展和解析器監(jiān)視任何遙測(cè)源

•為任何遙測(cè)數(shù)據(jù)流擴(kuò)展充實(shí)框架

•在任何遙測(cè)數(shù)據(jù)流中，異常檢測(cè)和實(shí)時(shí)規(guī)則為基礎(chǔ)的警報(bào)

•Hadoop支持的存儲(chǔ)遙測(cè)數(shù)據(jù)流，可自定義保留時(shí)間

•由彈性搜索支持的遙測(cè)數(shù)據(jù)流的自動(dòng)實(shí)時(shí)索引

•遙測(cè)相關(guān)和SQL查詢(xún)能力以支持Hive存儲(chǔ)在Hadoop中的數(shù)據(jù)

•ODBC/JDBC兼容，并與現(xiàn)有的分析工具整合

•設(shè)計(jì)規(guī)模為處理每秒數(shù)百萬(wàn)的消息

這是那些參與OpenSOC項(xiàng)目，該框架將繼續(xù)發(fā)展，提高組織應(yīng)對(duì)安全事件響應(yīng)能力。為此，該項(xiàng)目有以下目標(biāo)：

•要為高級(jí)安全分析工具的發(fā)展提供了一個(gè)協(xié)作的開(kāi)源社區(qū)

•鼓勵(lì)公開(kāi)交流，以改善其他功能和鑒定的不足之處

•識(shí)別功能的增強(qiáng)以提高OpenSOC

開(kāi)放式SOC是一個(gè)集成了安全工具、大數(shù)據(jù)捕獲和機(jī)器學(xué)習(xí)的開(kāi)源項(xiàng)目。然而，為了應(yīng)對(duì)黑客攻擊，該項(xiàng)目是一項(xiàng)正在進(jìn)行的工作，OpenSOC項(xiàng)目成員將加強(qiáng)建設(shè)與發(fā)展，并實(shí)施支持幫助。

文章來(lái)源：機(jī)房專(zhuān)用空調(diào) http://www.yuanchangqo.cn