SOC的起源
关于SOC/MSS的讨论越来越热闹,因为在安氏的时候经历过不少这方面的事情,刚好昨天晚上还和Jordan通了个电话,因此也来凑个热闹说上几句。
首先,对于一些英文缩写,大家不要理解死了,不同的公司,不同的环境,可以表示不同的或者至少不同程度的意思。比如MSS(managed security services),核心思想就是一个:outsourcing security。但是不同的公司,比如ISS,TruSecure, FoundStone,Counterpane,Exodus,@stake,这些当年MSS的积极鼓吹者,各自的描述和范围是不尽相同的。
再比如SOC,是security operations center 还是 security operation center?就是ISS自己狂推MSS/SOC的时候,关于MSS业务的不同PPT里有时用operations,有时用operation。当然用operations的时候多一些。
Mad的帖子讲Couterpane是MSS/SOC的先行者没错,但是声势最大,影响最大的还是ISS,ISS当时在美国和AT&T, Bell South等很多运营商一起开展MSS服务,大力推广MSS/SOC,当时ISS把MSS当成非常重要的一个发展方向,设计了很多的业务模式,分析了Value Chain,提出大力发展MSSP(managed security services provider)来解决MSS的scalability 和capacity的问题。这和当时加盟ISS的一个高级VP是MSS这方面的长期研究者和从业者有关,后来此公离开了ISS,ISS也调整了业务方向,MSS业务也就慢慢淡化下来了。
当时的SOC,是一个安全集中监控、研究、处理流程的概念,通过它实现MSS,为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”,因此各位仅仅停留在名字上,甚至缩写上,并没有什么实际意义。operations只是SOC里的一个环节。
2000年初我加入安氏开始建立服务部,当时安全服务如评估、体系设计等等还是只有较少客户认同,国内火热的IDC还没有崩溃,但是也在苦苦寻找增值服务的概念,我们看到了这个机会,利用了ISS的一些知识转移,开始在国内大力推广MSS/SOC的概念,并很快和世纪互联签署了中国第一个MSS/SOC合作协议,(我和郑海明谈了N次后签的合同,该同志是IDC业务的老同志了,现在自己开了个公司做反垃圾邮件产品了),开始形势还不错,但是随着IDC整体市场的萎缩,慢慢这个合作就无疾而终了。当时还同时和多家IDC谈了MSS/SOC合作,并签署了多个合作协议,虽然在MSS上没有带来多少收入,但其中有些IDC成功转型后至今还是安氏不错的合作伙伴,在有些省的安氏SOC项目中发挥了作用。
这里强调的一点是,当时安氏推MSS/SOC服务概念,即使在实际收益上没有大突破,但在安氏的融资过程中,发挥了很好的作用,当时安氏仅仅卖ISS的代理产品,对投资者来说,这并没有太多吸引力,安氏利用“安氏实验室+MSS/SOC+FW开发计划”,给投资者编出的故事还是有一定吸引力的,当年编数字也是一件很有趣的事情。加上Paul的资本市场经验,以及和TM的一些Bargain,拿到了钱。
当时的想法是利用ISS的模型,开发一个SOC平台,包含前面提到的三个要素,然后把这个产品提供给MSSP,把自己定位在Value Chain的高端。
后来SOC的概念被慢慢转移到开始出现的集中安全管理的需求上来。当时联系了eSecurity,Intellitactics和NetForensics三个主要的SIM厂家,最后还是和eSecurity合作了。
至于SIM,还是SOC,还是SMC,MAD在上个帖子进行了论述,可以看作是一种解释。
各位,名称不是最重要的,重要的是集中安全管理这个市场开始慢慢起来了,从最早的三个SIM小公司,到现在各大公司纷纷发力进入(CA,IBM,HP,Cisco(netforensics的主要投资者),集中安全管理的内涵和外延也自然都在发生变化。从较单一的安全产品管理到现在越来越庞大的结构体系,比如包含安全设备管理、关键资产管理、响应流程管理、纳入角色管理等等,全面实现information Security Magazine提出的3C概念,都随着越来越多公司的介入而逐步完善。
至于技术层面,实现真正的关联分析就好比当年的人工智能,可能比较镜花水月。更加具有实际意义的是如何有效的结合资产、脆弱性管理,提高威胁事件分析的准确性,纳入合理的响应流程,在现有技术水平上尽可能提高整体安全管理的效率和准确性,这应该是大家努力的方向之一。
