近日，360企业安全集团发布了新一代态势感知及安全运营平台——NGSOC。据介绍，NGSOC基于360威胁情报和大数据安全分析技术对用户本地的数据进行采集、存储、计算、数据挖掘与关联分析，能够将有效的监测发现、快速响应处置，及深入的调查分析进行结合，形成业务闭环，也成为安全管理与运营的关键。不论是外部的APT攻击，还是内部的操作异常，都能被快速的定位与处置，并拓展分析。

协同安全的智慧核心与中枢

360企业安全近两年动作频频，发布了很多“天”字头的产品，如威胁感知系统（360天眼）、终端安全系统（360天擎）、智慧防火墙（360天堤），基本都以大数据分析能力为重点。但给外部的观感，始终觉得缺少一款领衔、起到枢纽作用的产品。

此次发布的NGSOC，据360企业安全集团董事长齐向东介绍，正是这些产品的协同枢纽。配合终端监测与响应（EDR）、网络监测与响应系统（NDR），NGSOC将网络流量与终端数据进行汇总分析与协同响应，将威胁情报与数据的能力贯穿监测与防御体系，最终实现智慧的安全协同。至此，360已经成功构建了完整的安全协同产品体系。

360企业安全集团总裁吴云坤强调，360的整个安全体系，从数据驱动安全，到现在的协同防御，都是一致的。举例说，防火墙等安全产品是皮肤和手脚的概念，那么NGSOC就是整个防御体系的“眼睛”与“大脑”，可以看见，可以思考。

与传统SOC的区别

相比传统的SOC，这次360隆重推出的NGSOC有哪些与众不同之处？吴云坤认为，关键是大数据采集、挖掘、分析的能力。传统SOC因为数据资料不全，维度不够，很难帮助用户解决实际问题。只有把数据采集回来进行调查分析，才能做到智能防御。

智能体现在安全上是三个层面，机器+机器，云端6万多台机器来进行恶意样本的分析等工作；机器+人，专业人员用可视化工具来做SOC的数据调查工作，大大提高分析能力；人与人的结合，通过威胁情报中心让SOC知识共享，人与人之间协同分析。所以智能是机器、人与人的改变。

吴云坤认为，很多SOC的监测和响应在实际中做的并不好，对于用户来讲最需要的就是调查。响应和监测中间是调查分析，调查是每天都可能发生的，而检测和报警的响应不一定每天都有。NGSOC所提供的调查分析工具，是分析人员重要的武器，是SOC中非常重要的能力，实际应用中比机器化自动检测和告警重要得多。

数据是360企业安全的基因，吴云坤强调，围绕数据做文章，不仅是企业安全，在态势感知、可视化等技术上都大有可为。

大数据分析与威胁情报的具体实现

大数据分析是安全可见的基础，而威胁情报则是能否发现威胁的关键。

据360企业安全集团副总裁韩永刚现场介绍，NGSOC利用大数据技术，实现对本地全量数据的采集和存储，以及安全数据分析和威胁溯源。360的海量互联网威胁情报数据则保证了产品发现未知威胁的能力，威胁情报成为衔接云端大数据与本地大数据的纽带。而协同联动才能构建与打造新的检测与纵深防御体系，安全协同能力，不论在数据、智能还是产业层面，是安全+大数据背景下的必然产物，也是从传统安全向下一代安全的演进的重要能力。

韩永刚介绍，在平台架构上，360 态势感知及安全运营平台（NGSOC）分为数据采集，大数据存储与计算、数据分析引擎工具、安全应用、态势感知多个层面。对大数据技术和丰富威胁情报的利用，360态势感知及安全运营平台可以做到：

威胁情报、自动化关联、统计分析、机器学习成为新的威胁与异常的监测与发现手段；终端响应与检测（EDR）、网络响应与检测（NDR）在响应处置中为安全管理者提供了自动化响应机制；搜索引擎技术、数据挖掘、多维可视化关联、威胁情报中心等工具则为进一步调查分析提供了丰富手段。

韩永刚认为，NGSOC将成为新的安全智慧的核心，保障企业业务的顺畅运行。同时可视化分析技术也将企业内外部安全态势，进行直观的呈现，使得企业的管理者能够实时掌握企业内的安全状况，甚至对行业、地域的安全态势进行对比；而对于安全运维人员，以资产和人为视角出发的安全管理，丰富的安全运维与服务工具，也会帮助提升日常的安全管理运维效率。

---