SOC競(jìng)爭(zhēng)對(duì)手分析和規(guī)劃.ppt

SOC平臺(tái)功能分析研發(fā)中心林寶晶 市場(chǎng)上主流的SOC平臺(tái)東軟SOC華三的SecCenter天融信的TopAnalyser TSM聯(lián)想網(wǎng)御安氏ArcSightESMCiscoSIMS MARSRSA產(chǎn)品規(guī)劃SOC產(chǎn)品的價(jià)值TSOC的不足短期和長(zhǎng)期規(guī)劃 東軟SOC架構(gòu) 數(shù)據(jù)采集層 根據(jù)要求從網(wǎng)絡(luò)設(shè)備 安全設(shè)備 主機(jī)系統(tǒng)等數(shù)據(jù)來源采集各種安全信息 數(shù)據(jù)處理層 將采集到的原始安全信息進(jìn)行關(guān)聯(lián)分析處理 實(shí)現(xiàn)格式標(biāo)準(zhǔn)化 根據(jù)策略進(jìn)行數(shù)據(jù)歸并和壓縮后 存儲(chǔ)到數(shù)據(jù)庫(kù)中 應(yīng)用服務(wù)層 從數(shù)據(jù)庫(kù)中提取信息 按照策略完成數(shù)據(jù)的過濾 條件分析 為展示平臺(tái)提供數(shù)據(jù)支持 同時(shí)還是展示平臺(tái)進(jìn)行資源配置的接口 展示平臺(tái)層 實(shí)現(xiàn)NetEye安全運(yùn)維平臺(tái)的統(tǒng)一界面展示 通過統(tǒng)一的圖形化管理界面 NetEye安全運(yùn)維平臺(tái)實(shí)現(xiàn)了安全監(jiān)控 維護(hù) 管理 展示的全部功能 東軟SOC 東軟SOC 資產(chǎn)管理脆弱性管理風(fēng)險(xiǎn)管理安全信息監(jiān)控策略管理工單管理知識(shí)庫(kù)管理安全預(yù)警故障信息顯示報(bào)表關(guān)聯(lián)分析 TSOC和東軟SOC的比較 華三SecCenter SecCenter的核心價(jià)值體現(xiàn)在于其事件關(guān)聯(lián)功能上 數(shù)據(jù)采集協(xié)議支持 NetStream NetFlow CFlow Syslog WindowsWMI ODBC定位于SIEM 不是SOC 華三SecCenter 監(jiān)控事件關(guān)聯(lián)分析網(wǎng)絡(luò)的拓?fù)湔故?TSOC與華三的比較 天融信TSM TSM TrustNetworkSecurityManagementSystem 是天融信新一代網(wǎng)絡(luò)安全綜合管理平臺(tái) TSM采用代理 服務(wù)器 管理器的三層結(jié)構(gòu) 天融信TSM 資產(chǎn)管理網(wǎng)絡(luò)拓?fù)涔芾聿呗怨芾肀O(jiān)控事件智能檢測(cè)事件分析 天融信TopAnalyser TopAnalyzer作為soc中心的軟件平臺(tái) 以風(fēng)險(xiǎn)管理為核心 資產(chǎn)管理為基礎(chǔ) 事件管理為主線 輔以有效的管理 監(jiān)視與響應(yīng)功能 為用戶構(gòu)建動(dòng)態(tài)的可信安全管理體系 天融信TopAnalyser 天融信TopAnalyser 事件管理安全分析與報(bào)表資產(chǎn)管理知識(shí)庫(kù)實(shí)時(shí)監(jiān)控關(guān)聯(lián)分析基于專家系統(tǒng)的輔助決策系統(tǒng)基于規(guī)則的安全響應(yīng)與報(bào)警全局內(nèi)風(fēng)險(xiǎn)管理與計(jì)算工單管理 TSOC和TopAnalyser的比較 聯(lián)想網(wǎng)御 安全管理平臺(tái) 聯(lián)想網(wǎng)御針對(duì)對(duì)企業(yè)信息安全比較重視的中高端用戶推出的第三代安全管理平臺(tái)定位于集中設(shè)備監(jiān)控和全局審計(jì)分析 是網(wǎng)絡(luò)安全的中樞神經(jīng)系統(tǒng) 也是聯(lián)想網(wǎng)御信息安全解決方案的核心 聯(lián)想網(wǎng)御 安全管理平臺(tái) 聯(lián)想網(wǎng)御 安全管理平臺(tái) 聯(lián)想網(wǎng)御 安全管理平臺(tái) 設(shè)備管理設(shè)備監(jiān)控告警管理 告警關(guān)聯(lián) 日志審計(jì)資產(chǎn)管理策略管理 防火墻和VPN的策略配置 風(fēng)險(xiǎn)管理級(jí)聯(lián)管理 多級(jí) TSOC與聯(lián)想網(wǎng)御的比較 安氏SOC 資產(chǎn)管理風(fēng)險(xiǎn)管理脆弱性管理工單預(yù)警統(tǒng)計(jì)分析 關(guān)聯(lián)分析 知識(shí)庫(kù)管理指標(biāo)管理 CiscoSIMS 是一個(gè)安全信息管理 SIM 應(yīng)用程序 它可實(shí)現(xiàn)與多種不同安全產(chǎn)品之間的異種機(jī)互操作性 因此可使網(wǎng)絡(luò)管理人員集中監(jiān)控 管理和監(jiān)督企業(yè)網(wǎng)絡(luò)的安全性 范式化后的9中事件 訪問 身份驗(yàn)證 授權(quán)應(yīng)用程序盜用配置 系統(tǒng)狀態(tài)拒絕服務(wù)躲避違反政策偵察企圖未知 可疑病毒 特洛伊木馬 CiscoSIMS 風(fēng)險(xiǎn)和威脅分析評(píng)估監(jiān)控事件響應(yīng)管理多級(jí)關(guān)聯(lián)知識(shí)庫(kù) CiscoCS MARS CS MARS CiscoSecurityMonitoring AnalysisandResponderSystem 定義了事件被處理的流程 8個(gè)步驟 充分利用了網(wǎng)絡(luò)拓?fù)涞膶傩?來減少誤報(bào) 發(fā)現(xiàn)網(wǎng)絡(luò)熱點(diǎn) 找到最佳防御點(diǎn)和提高證據(jù)分析能力 CiscoCS MARS 智能網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)事件進(jìn)程化管理風(fēng)險(xiǎn)關(guān)聯(lián)分析流量異常分析誤報(bào)分析安全預(yù)警與響應(yīng)脆弱性評(píng)估報(bào)表 ArcsightESM ArcsightESM ArcSight體系結(jié)構(gòu) 可滿足世界上規(guī)模最大的 安全性能要求最高的網(wǎng)絡(luò)的需要ArcSightESM的擴(kuò)展不僅限于單級(jí)部署 多級(jí)和對(duì)等方式部署也能夠很好的進(jìn)行擴(kuò)展 因此 您可以采用最適合您企業(yè)的方式進(jìn)行部署 無論是部署單個(gè)安全營(yíng)運(yùn)中心 SOC 還是部署地理位置分散 相互間必須不斷共享信息的多個(gè)安全營(yíng)運(yùn)中心 ArcsightESM 事件監(jiān)控響應(yīng)處理智能關(guān)聯(lián)合規(guī)性報(bào)告多級(jí)部署支持Discovery分析工具 RSAEnvision RSAEnvision 關(guān)聯(lián)預(yù)警審計(jì)管理安全事件管理行為合規(guī)性檢測(cè)實(shí)時(shí)監(jiān)控預(yù)警 與基線做比較 基線管理脆弱性分析集成 競(jìng)爭(zhēng)對(duì)手功能對(duì)比表 SOC產(chǎn)品的價(jià)值 客戶的價(jià)值從眾多安全事件中分析網(wǎng)絡(luò)的安全狀況 進(jìn)行從宏觀到微觀的展示 可以定位出安全事件的焦點(diǎn) 可以做到逐步鉆取的達(dá)到準(zhǔn)確定位 提供給客戶一份安全 合規(guī)性報(bào)告 是否可以提供深度的事后數(shù)據(jù)挖掘 企業(yè)內(nèi)部的價(jià)值為企業(yè)的安全產(chǎn)品提供整體的解決方案 為公司提供和大客戶和戰(zhàn)略客戶合作提供基礎(chǔ) SOC發(fā)展方向 實(shí)時(shí)監(jiān)控關(guān)聯(lián)分析數(shù)據(jù)智能挖掘威脅管理風(fēng)險(xiǎn)管理等級(jí)保護(hù)綜合審計(jì)數(shù)據(jù)存儲(chǔ) TSOC現(xiàn)在的狀況 SIMS引擎數(shù)據(jù)采集分類不合理功能全 但是不精產(chǎn)品業(yè)務(wù)流程混亂界面的監(jiān)控顯示不突出報(bào)表的內(nèi)容太蒼白用戶的網(wǎng)絡(luò)安全宏觀監(jiān)控沒有配置部署太復(fù)雜模塊化程度不高 產(chǎn)品和定制開發(fā)成本高 產(chǎn)品規(guī)劃目標(biāo) 短期目標(biāo)加強(qiáng)TSOC的市場(chǎng)競(jìng)爭(zhēng)力 核心功能 補(bǔ)充從前方來的客戶需求長(zhǎng)期目標(biāo)立足核心功能 深度發(fā)展核心功能建立架構(gòu)靈活的SOC產(chǎn)品平臺(tái) 降低產(chǎn)品和定制開發(fā)成本產(chǎn)品線細(xì)分 多樣化在國(guó)內(nèi)的SOC競(jìng)爭(zhēng) 技術(shù) 中應(yīng)該處于NO 1 產(chǎn)品短期規(guī)劃 一 TSOC3 0 8 0引進(jìn)基線管理 讓系統(tǒng)可以在事件 流量方面可以通過學(xué)習(xí)過程 建立標(biāo)準(zhǔn)區(qū)域基準(zhǔn) 通過對(duì)比區(qū)域基準(zhǔn) 來做全局的整體網(wǎng)絡(luò)安全 流量異常分析展示 對(duì)全局的展示 可以進(jìn)行數(shù)據(jù)鉆取 從整體 局部 設(shè)備 事件 來準(zhǔn)確定位事件 增加安全報(bào)告 在內(nèi)容和格式上改進(jìn) 改進(jìn)關(guān)聯(lián)分析子系統(tǒng) 增加3個(gè)分析模塊 地址熵 三元組和熱點(diǎn) 核心功能模塊和定制開發(fā)模塊組件化或者模塊化 產(chǎn)品短期規(guī)劃 二 TSOC3 0 9 0SIMS和SMC的整合多級(jí)管理引入VWP平臺(tái)組件部分功能模塊化 主要集中在定制開發(fā)模塊多的功能 網(wǎng)絡(luò)拓?fù)?產(chǎn)品長(zhǎng)期規(guī)劃 一 產(chǎn)品架構(gòu)重新設(shè)計(jì) 做到靈活可拆分 盡量做到系統(tǒng)可以與WEB服務(wù)器無關(guān)和數(shù)據(jù)庫(kù)系統(tǒng)無關(guān) 做一個(gè)產(chǎn)品基礎(chǔ)平臺(tái) 威脅管理綜合監(jiān)控基線管理流量管理關(guān)聯(lián)分析知識(shí)庫(kù)報(bào)表 產(chǎn)品長(zhǎng)期規(guī)劃 二 在產(chǎn)品平臺(tái)基礎(chǔ)上開發(fā)風(fēng)險(xiǎn)管理平臺(tái)資產(chǎn)管理風(fēng)險(xiǎn)管理脆弱性管理在產(chǎn)品平臺(tái)基礎(chǔ)上開發(fā)審計(jì)平臺(tái)合規(guī)性報(bào)表在產(chǎn)品平臺(tái)的基礎(chǔ)上開發(fā)等級(jí)保護(hù)平臺(tái)風(fēng)險(xiǎn)域管理等級(jí)保護(hù)網(wǎng)絡(luò)拓?fù)?產(chǎn)品的規(guī)劃 產(chǎn)品路標(biāo)規(guī)劃 Platform TSOC ASOC TSO