记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

“穷人”的SOC?XDR面临三大挑战

在《关于XDR,你必须了解的十件事》一文中,我们给XDR(扩展检测与响应)的定义是:XDR是一种涵盖混合IT架构的安全产品集成套件,负责威胁预防、检测和响应的互操作和协调。XDR将控制点、安全遥测、分析和操作统一到一个企业安全系统中,提高中小型企业和部分行业用户威胁检测和响应的速度。从某种角度来看,XDR就是“穷人”的SOC运营套件。听起来是很不错的想法,但是XDR能在竞争激烈的网络安全市场开辟出一片新战场吗?根据ESG的研究,市场对XDR的需求是明确的:76%的安全专业人员说,如今的威胁检测和响应要比两年前困难得多。因为网络威胁的数量、复杂性,网络安全工作负载的增加以及攻击面的增长。
发布时间:2020-08-10 19:59 | 阅读:12801 | 评论:0 | 标签:牛闻牛评 首页动态 MDR/MSSP SOC XDR

SOC全球调研:警报数量翻倍,八成团队遭遇告警疲劳

Sumo Logic近日发布了一项全球SOC和SecOps安全运营的调查结果,揭示了安全专业人员在安全运营中心(SOC)现代化的过程中面临的障碍和困难,超过八成的SecOps安全运营团队表示正在遭受告警疲劳的折磨(下图)。以下为该SOC调研的亮点信息:过量的安全警报传统SIEM产品的复杂性以及提高海量警报信息管理效率的渴望正在推动云原生SIEM与安全自动化功能的结合,来有效应对SOC挑战。报告指出:当今的安全运营团队面临着持续不断的安全隐患威胁,这可能导致严重的后果,包括失去客户、降低品牌声誉和减少收入。为了有效地最小化风险并弥合鸿沟,许多公司都依赖能够提供安全警报实时分析的自动化解决方案。
发布时间:2020-07-14 17:53 | 阅读:23907 | 评论:0 | 标签:行业动态 首页动态 SOC 告警疲劳 安全运营

SOC第二防御阶段–理解威胁基本情况

在SOC第一防御阶段中,我们对攻击链有了最基本的了解并知道了采取必要的步骤来打破攻击链。现在我们进入SOC第二防御阶段,提升保护企业安全的水平。早些年,当我们谈到“病毒”时,通常都是指“exe”可执行程序和一些弹窗。大部分的病毒都是由脚本小子创建的,他们不会对任何PC造成太大的损害。但是现在,这些恶意软件可不是脚本小子写的,而是有的公司为了盈利而开发的,每个恶意软件的背后都是有特定的目的和计划安排的。恶意软件系列分为病毒/蠕虫/PUP/间谍软件/广告软件/多态病毒/FakeAV/屏幕保护程序病毒。其实这些都没有什么太大的危害,也没有什么商业目的和动机。
发布时间:2019-03-12 12:20 | 阅读:96524 | 评论:0 | 标签:业务安全 SOC 恶意软件

SOC第一防御阶段——理解攻击链和基本防御方法

本文将会帮助你理解现代网络威胁以及任何恶意软件和网络攻击常用的攻击手法。很多时候,网络攻击都是分阶段进行的,所以安全运营中心(SOC)团队必须要了解攻击模式和攻击链。所以打破他们的攻击链并阻止他们的犯罪意图,从而让他们的目的无法实现,这会减少因为数据丢失所带来的业务影响。事先声明,本文不会为你们的企业提供100%的防御步骤和蓝队指导,会提供有关攻击方法的一些简要的信息。每个SOC团队必须建立一个防御机制,这是进行安全监控的第一步。任何网络安全团队或者小企业,小公司,没有SOC的话,可以遵循下列步骤,这些步骤有助于建立一道防御墙。
发布时间:2019-03-08 12:20 | 阅读:159856 | 评论:0 | 标签:其他 SOC 基本防御 攻击链

CS4:新一代SOC与态势感知大会 六家安全厂商分享核心解决方案

今年8月,安全牛发布了基于全景图中“SOC/iSOC”子领域厂商所展开调研的《新一代SOC研究报告》(包含技术和市场指南),在业内反响颇为强烈。以此为契机,安全牛在上周四下午,联合六家在“新一代SOC和态势感知”领域有着领先技术思路和可观市场占有率的安全厂商,举办了此次C·S大会。C·S会议之前已举办过三届。众所周知,C·S大会不讲攻防技术,也不谈高层战略,而是专注安全解决方案的分享。演讲者面向的是最终客户,讲的是企业或机构目前亟待解决的安全问题,以及安全能力建设的思路和落地方案。
发布时间:2017-11-10 03:00 | 阅读:204389 | 评论:0 | 标签:行业动态 C·S会议 SOAPA SOC 安全运营 态势感知 解决方案

建立“三重防护”认知安全免疫系统 以应对网络安全威胁

“人机同行,认知安全新体系”2017 IBM安全高峰论坛在北京举行做为全球网络安全领域领导厂商, IBM认为,面对如何恶劣的外部环境,企业应该建立以认知技术为就核心的,具备防御、侦测、响应三大能力的 “三重防护”认知安全免疫系统, 包括:一个智能安全的平台、一个安全运维中心,一系列最新的网络安全威胁情报,从而为企业的安全运营保驾护航。IBM拥有超过 3,500 项安全专利。拥有有一支为133个国家或地区超过12,000位客户提供支持的7,500人安全团队成为您的坚强后盾,IBM安全服务部每天管理超过200亿个事件。
发布时间:2017-08-31 22:10 | 阅读:118478 | 评论:0 | 标签:行业动态 IBM 安全 QRadar SOC 威胁情报

IBM如何看待SOC和态势感知

SOC,即安全运营中心,从名称来看: S->Security(安全),即SOC处理的事件或流程应该是与企业网络安全相关的; O->Operations(运营),代表着一种动态的动作,包括但不限于实时的检测和响应; C->Center(中心),体系化的建设,多领域安全产品和服务“叠加”而成的综合防线。 众所周知,安全运营中心(SOC)在中国的落地一直不算成功。仅靠日志分析、终端安全等工具的堆砌,缺乏足够的知识和人才来运营,难以与IT、业务和监管等部门进行有机的联动,这些问题都使得许多国内的自建SOC几乎等同于SIEM,而远没有达到成熟安全运营中心应具有的能力。
发布时间:2017-05-05 17:45 | 阅读:223508 | 评论:0 | 标签:术有专攻 IBM SOC Watson 态势感知 认知安全

HPE报告揭示全球安全运营中心(SOC)成熟度

HPE的《2017安全运营状态报告》揭示:82%的安全运营中心(SOC)都没有运行在最佳成熟度,没有达到业务目标。 HPE(惠普企业)在2017年1月17日发布了其《安全运营状态报告》,提供了SOC运营优劣的分析。其中最醒目的发现,就是82%的SOC都没有处于最佳成熟度水平,对限制风险和保护业务运营助益不大。 该报告是第4期HPE年度安全运营状态研究的报告,在对183个SOC进行评估的分析基础之上构建而成。HPE了解SOC状态的核心方法,就是安全运营成熟度模型(SOMM)。
发布时间:2017-01-24 21:10 | 阅读:149135 | 评论:0 | 标签:行业动态 HPE SOC SOMM 成熟度

企业选购或厂商优化SIEM产品时应考虑哪些因素?

引言 SIEM(安全信息与事件管理)在SOC操作中心中扮演着十分重要的角色,可以说它是SOC的心脏,能够收集事件并按照配置好的规则进行事件分析,同时向安全分析师发出系统入侵等异常行为的告警,并执行SOC程序。 本文旨在帮助企业评估并采购合适的SIEM产品,搭建他们自己的SOC操作中心。以下整理的内容会对SIEM的POC(概念证明,可理解为产品测试,证实产品的各项优异性能)产生一定帮助。 文章主要介绍购买SIEM产品的基本思路,帮助客户获得最符合企业安全需求的SIEM技术。当然提供SIEM服务(SaaS)的安全公司也能从中获益,根据所列要点提高产品的客户满意度,扩大市场占有率。
发布时间:2017-01-24 12:45 | 阅读:167814 | 评论:0 | 标签:企业安全 安全管理 观点 SIEM soc

利用好SOC与威胁情报 提高安全投入回报率

过去几年,公司网络安全问题引起广泛关注,相应的,分配到对抗恶意渗透者上的预算也呈指数级上涨。Gartner数据显示,2016年安全支出增长了7.9%,典型千人规模的公司要花约1500万美元来保证自身安全。 虽然大笔资金投向威胁情报馈送并急于收集尽可能多的情报,但是很多公司依然缺乏将这些数据转译成可操作情报和可衡量安全改善的能力。同时,CISO们承受的将现有和未来安全投资转变为投资回报(ROI)的压力也是越来越大了。 投资回报问题并不孤立于威胁情报 最近几年,企业安全团队大量投钱到威胁情报却效果寥寥的事实是显而易见的。大部分原因可归结为缺乏将外部威胁实时定位匹配进自身环境的能力。
发布时间:2016-12-31 00:10 | 阅读:146275 | 评论:0 | 标签:术有专攻 SOC 威胁情报

企业对安全运营中心(SOC)的投入真的有用吗?

对企业用户而言,是否总会感觉,花了钱和时间搞的安全措施没有达到预期中的效果?这可能是很多企业高层的困扰。不过,至少有一个可能是例外:安全运营中心(SOC)已经在帮助企业减少安全事故和提高运营的成熟度方面做出了切实贡献。 SOC的确加强了企业的安全能力 根据McAfee实验室在2016年12月发布的威胁报告可知,虽然各企业的发展阶段存在差异,但目前已有84%的商业组织和91%的企业在采用SOC。Intel Security(也就是McAfee)在这份报告中的调查对象包括加拿大、德国、英国和美国的近400名安全从业人员。
发布时间:2016-12-23 12:05 | 阅读:130113 | 评论:0 | 标签:安全管理 观点 McAfee soc

从追逐警报到捕获威胁:有效SOC的进化

无论被称为SOC、CSOC(计算机安全运维中心)、网络防御中心还是别的什么东西,安全运维中心(SOC)的根本使命都不会变——帮助企业检测、分析、响应、报告和预防网络安全事件。不过,随着威胁态势不断改变,怎么有效做到这一点也发生了变化,分析师及其所依赖的技术身上的担子也更重了。   很多SOC采取的是反应式方法,提供一套包括日志管理、实时监视、事件响应和调查在内的标准服务。他们使用传统的SIEM(安全信息和事件管理),从内部源收集日志数据,进行关联,以简单实时的基于规则的分析来检测已知威胁。只要触发警报,他们就介入调查。一段时间里,这种水准的服务就足够了。
发布时间:2016-11-14 11:05 | 阅读:116167 | 评论:0 | 标签:术有专攻 SOC 威胁捕获

360的下一代SOC是这个样子的

几乎所有大型企业或机构的IT系统中,都会有安全运营中心(SOC),它是网络安全防护体系从设备部署到系统建设,再到统一管理,这一发展过程的自然产物。但在国内的实际应用中,SOC的问题多多。 首先是数据类型不全,主要为各种网络和安全设备推出的大量日志和告警数据,再者不具备海量大数据存储分析和处理的能力,最后是专业安全人才的匮乏。这些问题均导致安全运维或分析人员疲于应付,很难从中发现真正的异常网络行为,最终令SOC名存实亡。 那么问题来了,如何改变传统SOC的种种弊端?所谓的下一代SOC又是怎样呢? 就在中秋节前夕,360企业安全发布了新一代态势感知及安全运营平台,NGSOC。
发布时间:2016-09-19 04:20 | 阅读:161583 | 评论:0 | 标签:行业动态 360 SOC 协同联动 大数据 态势感知

揭开全球第一大企业安全厂商IBM的面纱

今年2月底,一个收购消息在国外安全社区开始传播。IBM Security 正在收购网络安全应急响应公司 Resilient Systems,据知情人士透露,收购价约为1亿美金。实际上,自从 IBM Security 在2012年正式建立之后,连续收购了Trusteer(10亿美金)、CrossIdeas和Lighthouse三家安全公司。而且IBM安全正式成立之前,IBM还收购了 包括Q1 Labs、Algorithmics、BigFix、Guardium、Watchfire、Consul Risk Management、ISS(13亿美金)、Fiberlink等十几家安全公司。
发布时间:2016-05-13 00:20 | 阅读:139085 | 评论:0 | 标签:牛闻牛评 IBM Security SOC URL数据库 X-Force

RSA2016 绿盟君带你看SOC一览

阅读: 260本届RSA大会已经火爆结束了,RSA一直被业内称为世界网络安全行业的风向标,这其中公布的行业趋势和研讨热点,展会中的各类安全产品及“创新沙盒”,都将引领安全行业的潮流和趋势。本次大会中,关于SOC类产品,一个比较明显的变化是,15年RSA比较新的概念威胁情报,国外厂商经过一年的时间,已经转换成新的产品服务,传统的SOC基于威胁情报、数据分析、机器学习等能力,已经发生了质的变革,称下一代SOC产品为ISOC。 大会中,洛杉矶市首席信息安全官Timothy Lee分享了洛杉矶城市的ISOC系统。
发布时间:2016-03-09 10:50 | 阅读:161199 | 评论:0 | 标签:技术分享 ISOC RSA2016 SOC SOC一览 SOC厂商 创新沙盒 威胁情报 威胁情报服务 智能驱动 绿盟君

ADS

标签云