斗象科技×某省级运营商: XSOC一体化综合指挥运营平台「创新实践」
2024-12-20 05:31:0 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

复杂形势下,运营商在安全管理上面临管理缺乏整体性、技术缺乏系统性、处置缺乏有效性等困境,在内生管理基因以及外在各类需求的双重驱动下,运营商势必要走向常态化、实战化、集约化、智能化的一体化网络与信息安全运营演变之路。但传统安全运营中心(SOC)在实际服务过程中也存在不可忽视的弊端:

  • 大而全、华而不实。不顾企业真实安全需求,盲目堆砌各种产品和功能;

  • 缺乏基于「元数据」和「原始数据」构建的“可调查、可验证”真实数据基础底座;

  • 对安全事件的处置响应把握不准,流程和工具缺乏标准化

  • 无法提供稳定、持续的安全运营服务。

企业建设SOC并不是想要“全家桶”,更希望从实际业务场景出发,以“组装模式”搭建 SOC。斗象科技作为一体化平台建设的唯一承建商,创新性地基于XSOC组装式安全运营中心建设理念,通过一个XSOC运营指挥中心,XLakehouse安全元数据湖、MSS托管式安全运营中心和VMS安全漏洞运营管理平台三大运营指挥平台,以及一套业务场景组装配套持续提升网络与信息安全一体化综合指挥运营平台效用。

创新点一:可灵活“组装”的安全运营中心
块化平台、丰富业务场景模型、自定义组装方式,可针对性匹配企业当前安全现状、业务场景、重点规划,自由组装定制安全运营中心。
创新点二:XSIEM奠定安全元数据“可调查、可验证”的真实基础底座

斗象XSIEM元数据融合安全管理平台作为数据收集处理引擎,提供对安全事件日志和元数据的实时采集存储,内置XLakehouse安全元数据湖,从大数据挖掘的角度出发,进行智能化的日志分析和规则引擎驱动,满足威胁检测、跨数据关联调查和响应。

创新点三:告别定制,“乐高式”搭建业务场景模型

企业可根据自身实际需求选择配置特定安全模型,以自动识别攻击事件,并进行自动化的应急措施,加速威胁应对的速度,如生产数据滥用监测、邮件安全监测、API接口安全监测等。

创新点四:云地结合的MSS安全运营托管服务

本地安全服务和云端专家结合,由具备多年安全运营和安全服务经验的蓝军提供稳定持续的现场值守和领域专家咨询服务。同时依托斗象红军、安全实验室、安全研发团队,持续维护更新SOP库和服务工具库

创新点五:处置流程高度灵活,持续促进工作复盘和流程标准化

事件处置流程为“审核确认”、“分析研判”、“抑制&处置”、“复审”、“关闭”五个步骤,但中间常出现责任转交、多人审核、多人符合、反复确认等情况,不能满足复杂的实际需求。斗象XSOC仅有开始与结束流程固定,中间任意流程节点均可自由设置分支,安全事件动态流转。

斗象XSOC组装式安全运营中心作为该省SOC分指挥中心,一方面完成集团SOC总指挥中心的安全任务,另一方面负责各部门及地市统一安全指挥调度工作。统一承接资产治理、漏洞闭环、威胁狩猎、攻防演练等13个安全场景的常态化运营工作。围绕“横向到边,纵向到底“的演进原则,该项目已实现:

对各专业线安全设备数据做深度关联分析,实现3分钟工单响应、20分钟分析研判、7分钟应急处置、及时处置率>99%

在原有告警基础上实现了大幅降噪(每日告警数量下降至日均200条左右),精准识别安全风险的同时,大大提升了安全运营效率

能够将工单触达地市端,实现与集团公司总平台在13类日常安全运营场景上的联防联动

体系架构先进,为同行业的安全体系建设提供参考

集团领导调度重视该省经验,多次莅临参观指导工作

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247495017&idx=1&sn=7f4bec5f1662c7edf7e13195fbb4d271&chksm=96d8e6b3a1af6fa5d3a0bf441ba0a04e654588d20d569416d6774f6105a72b880d0f404c40ee&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh