基于主动防御能力，建设安全运营体系的一点思考( 二 ) 在网络安全2.0开局之年的2014年

三、安全运营分析平台架构（SOAPA）
安全分析与检测出的各种结果，为大数据安全分析平台提供高质量的输入，大数据平台通过规则分析、机器学习、智能分析、可视化等技术，为安全运营分析平台提供技术与数据保障。

文章图片
首先，深度安全分析与检测已经提供了全方位的安全感知能力，在经过大数据分析后对风险态势、安全态势、攻击态势能够进行全天候的可视化展示。
其次，通过外部威胁情报、内部威胁情报的整合与关联，在形成高质量的安全分析告警的基础上，定义告警严重程度；并根据告警处理任务类型，来判断是进行事件处理任务自动响应，还是通过预警通报输入给ITIL系统进行处理；
最后，根据需要对安全事件进行必要的审计、回溯，研究攻击过程与特征，必要时将安全运营数据输入GRC系统来评估合规符合程度等等。
四、最后
本文只是根据自己的学习，所形成的一些不太成熟的想法，在无任何倾向性的同时，也不具实践指南的意义。只是个人兴趣爱好，有志同道合的欢迎进一步交流。
注：
本文中未直接涉及现在市面上炒作厉害的APT防御、威胁情报、态势感知三类产品，因为我个人理解：
【基于主动防御能力，建设安全运营体系的一点思考】APT检测、防御是2.0时代网络安全运营的重要目标之一，没有任何一款产品可以解决APT检测与防御问题，而是需要通过整体安全体系和运营能力才能与其对抗。何况现在市面上的APT产品，大多数只是基于流量的威胁检测配合着沙箱而已；
威胁情报是一种数据服务，而很难说它成是一种成熟的产品。目前的情况来看，威胁情报单独提供给客户，其价值是没有办法最大化的，只能与分析平台结合才能发挥其作用，同时也能够增加平台的效果，发挥1+1>2的效果。
态势感知如果从微观上来说，是安全产品应该具备的能力，而非一款具体产品；从安全运营的宏观上来说，是需要安全监控、分析平台、安全人员、制度流程组合形成的，一套解决方案与工作机制。
一家之言，仅供参考！返回搜狐，查看更多
责任编辑：