三论SOC的起源.docVIP

三论SOC的起源 【摘要】本文通过分析1998～2001年间国际上Managed Security Service的发展初始阶段的事件，探讨了Security Operations Center的起源，表明SOC的发展存在着服务和产品两条路径。同时，简要叙述了2004及以前的中国SOC市场的历史发展情况。引子在2003～2005年间，国内SOC概念正如火如荼。当时，国内主流的安全厂商从安全产品和安全服务发展的不同角度出发，开展 了一场轰轰烈烈的SOC运动。作为业界同仁对SOC的一次重要交流，在2004年的XFOCUS论坛上，有人发起了一次“探究SOC起 源”、“再论SOC起 源”、“乱弹SOC”等一系列讨论，带大家去寻找最早的SOC来自哪里？并就SOC到底是产品还是服务进行了深入探讨，还针对当时国内主要的SOC厂商的 情况进行了交流。那个时代，本人也有幸做为一名SOC的从业人员，参与国内SOC建设大潮之中。2004年的时候，本人主要承担SOC系统的研发工作，利 用我们的核心管理平台架构搭建SOC。那个时候，他们中一部分人对SOC侃侃而谈，把SOC看作安全服务、MSS的未来，当然也有人不看好SOC。现在，本人在参照前人成果的基础上，再次为大家探究一下SOC的起源。先提一下，在2010年代，去翻寻2000年以前的东西，不是很容易的 一件事情，很多资料都是以文字期刊的形式流传下来的，Google也不过1997成立，而网络安全业界的前辈们有的从1994年开始创业了。不过，幸好互 联网是强大的，借助Google和期刊电子检索，还能寻找到一些蛛丝马迹。SOC的发展之初，就是有服务和产品两个轨迹的。关于ISS的SOC 在“探究SOC起源”中，参与者们基本都向ISS致敬。的确，ISS是网络安全的先驱。这个成立于1994年的公司， 拥有一个天才的创始人、CTO——Christopher Klaus。来自佐治亚理工的他最早从事反黑客的共享软件开发。在1998年，互联网泡沫破裂之前，他的公司在Nasdaq上市了。首日收市，他的身价过亿美元，那一年，他才24岁。那时的ISS主要从事网络 安全弱点分析和入侵检测产品的研发。大约在1998～1999年间，ISS和其他前驱们提出了MSS的概念，并付诸实践。在1999年8 月，ISS收购了当时最大的独立安全服务提供商——Netrex Secure Solutions公司，从而建立了一个端到端的SAFEsuite(R)安全管理平台，为客户提供MSS。而关于ISS建立的SOC的最早能够 查到的新闻是2000年12月11日，ISS宣布在瑞典的赫尔辛堡成立其第4个SOC中心，作为对其在亚特兰大等地的SOC中心的补充。2001年6月5日，ISS宣布在 亚特兰大启用新的Global Threat Operations Center，以及在日本东京成立负责亚太的SOC。由于ISS已经在 2006年8月被IBM收购，因而这些新闻都比较难于查询到。要知道，说ISS的SOC，都是说成立SOC，不是说开发出了SOC，也就是说他们 都是自建SOC，用于MSS运营之用。关于Symantec的SOC在互联网兴起之前，他就很有名了。后来，互联网起来了，这时的 symantec作为当时业界的大佬自然也不愿意错过这个机会，涉足互联网安全。在2001年，新闻报道称Symantec在圣安东尼奥启 用了最新的SOC，替换他们原有的安全设施。这个最新的SOC与Symantec位于英国Epsom的SOC中心一道，为全球客户提供24×7×365的外包安全管理服务。新SOC中心计划雇佣140名安全专家。由于Symantec至今犹存，因而可以网上直接查到，看这 里。很显然，Symantec的SOC也是自建的，用于对外提供MSS。关于Counterpane的SOCCounterpane，成立于1990年，创始人，CTO是大名鼎鼎的Bruce Schneier。在2000年的时候，有一篇关于Counterpane位于弗吉尼亚的SOC采访报道。Counterpane是 MSM（Managed security Monitoring）的先驱。在早期的MSS服务项目中，MSM是最需要后端SOC支撑的。其他公司的SOC： NetSec、CheckPoint、WatchGuard、GuardedNet、 Cyber Security在1998年底，以 色列的CheckPoint公司推出了Check Point Provider-1，作为对其防火墙/VPN产品的集中管理平台，并可以提供给MSSP去管理多个客户的防火墙之用。这应该是最早的集中安全管理平台了吧。在1999年，WatchGuard在公