新一代SOC研究报告(17-08-C2-ZN)-1.pdf

17-08-C2-ZN 新一代 SOC 研究报告 技 术 指 南 版权声明 ·新一代 SOC 研究报告（以下简称为“报告”）为安全牛研究成果，版权为安全牛独家拥有，其性质是供 安全牛客户内部参考的资料，其数据和结论仅代表安全牛的观点。 ·报告仅限于安全牛客户内部使用。未经安全牛审核、确认及书面授权，购买报告的客户不得以任何方式， 在任何媒体上（包括互联网）公开引用本报告的观点和数据，不得以任何方式将报告的内容提供给其他单 位或个人。否则引起的一切法律后果由该客户自行承担，同时安全牛亦认为其行为侵犯了安全牛的著作权， 安全牛有权依法追究其法律责任。 ·报告中未注明来源的所有图片、表格及文字内容的版权归安全牛所有。有侵权行为的个人、法人或其它组织， 必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿。否则安全牛将依据中华人民共 和国《著作权法》、《计算机软件保护条例》等相关法律、法规追究其经济和法律责任。 ·本声明未涉及的问题参见国家有关法律法规，当本声明与国家法律法规冲突时，以国家法律法规为准。 免责声明 ·报告中部分图表在标注有数据来源的情况下，版权归属原数据所有公司。安全牛取得数据的途径来源于厂 商调研、用户调研、第三方购买、国家机构、公开资料。如不同意安全牛引用，请作者来电或来函联系， 我们协调给予处理 ( 或删除 )。 ·报告有偿提供给限定客户，应限于客户内部使用，仅供客户在开展相关工作过程中参考。如客户引用报告 内容进行对外使用，所产生的误解和诉讼由客户自行负责，安全牛不承担责任。 01 / 51 17-08-C2-ZN 前言 近几年，威胁和风险环境已经发生了巨大的变化，主动攻击行为与高级攻击技术（APT）的复杂性不断升 级。而随着云计算与大数据技术的发展，新一代的高级安全技术和防护策略也取得了快速发展，比如以风险或 杀伤链为基础的方法，大量利用了威胁情报和大数据分析技术。这就要求传统的安全运营中心（SOC）来适 应这些新的变化，企业需要认识到传统的以防护为核心的策略已经失效，企业资产可能已经被破坏。企业安全 体系必须切换到以监控和响应为核心，通过持续监测，及时响应来减轻和限制攻击造成的损失。 新一代安全运营中心（SOC）必须以数据和情报驱动，采用自适应安全架构来进行环境和态势感知，通 过自动化或半自动化工具、流程和策略来对抗新一代威胁。 本报告描述了新一代 SOC 的基本要素，介绍了 SOC 的技术实现原理，探讨了 SOC 运营体系的能力建设、 重点和难点，以及在不同场景不同层面上，协助包括基础作业层、专业技术层和管理决策层用户等人员更好地 完成安全工作，并此基础上结合整体防御体系探讨了 SOC 的未来发展趋势。 本报告由安全牛顾问团队，通过调查国内在新一代 SOC 相关技术产品上做的较为突出的公司，并结合当 前最新的相关资料撰写。 关键发现 预计到 2020 年，以数据和情报驱动的新一代 SOC 为中心的市场占有率将从现在的 5% 提升到 50%； 新一代 SOC 将遵循大数据化、情报驱动、多维度化、智能化、交互化、可视化、协同化等理念进行建设； 新一代 SOC 将成为企业安全能力中心，具备安全防御、持续监测、快速响应、溯源取证、风险预警 等能力； 新一代 SOC 必须采用大数据平台架构，来提升数据的分析和处理能力； 新一代 SOC 应采用来自多个来源的战略级和战术级威胁情报； 新一代 SOC 应具备大数据安全分析能力，通过机器学习提升分析能力； 新一代 SOC 尽可能实现安全运营的自动化； 新一代 SOC 采用了自适应安全体系架构； 新一代 SOC 采用主动威胁溯源和调查技术； 新一代 SOC 可应用在微观运营、中观管理和宏观决策各个层面； 新一代 SOC 尚面临诸多的建设难点，如情报共享、团队建设、定制化等 02 /51