是时候实现 SOC 2.0 了

 SOC，安全运营中心，为取得其最佳效果，以及真正最小化网络风险，需要全员就位，让安全成为每个人的责任。

[[183455]]

早在几年前，企业就开始创建SOC来集中化威胁与漏洞的监视和响应。第一代SOC的目标，是集中管理、分析和响应来自多个不同边界和终端工具的警报与事件。操作员通常坐在特定工具控制台前，比如DLP，或者将所有日志收集到一个地方的SIEM工具前。另外的可视化与地图类屏幕也醒目地展示出来，供来访的高管们巡视。

SOC的诞生，是为了整合响应员工，强化各不同安全域之间的协作，更加容易地“抓住坏人”。然而，让员工手动分析成堆的数据，从孤立的事件和指标中寻找联系，被证明是低效、不可持续且令人难以承受的，尤其是在数据量持续暴增，而具备资格的分析师增长不足以弥补人才缺口的情况下。

另外，攻击也越来越复杂和不可检测，特别是我们缺乏更高级的机制以连接上不同传感器和行为数据，那就更加不可能检测出愈趋复杂的威胁了。

为跟上黑客的脚步，我们需要武装起操作员，让他们具备尽快决策并采取最有效行动的能力。

整合或集成不仅仅意味着将数据放进一个集中的地方，甚至全都弄到一个工具里。想要从SOC流过的海量数据中抽取出真正有意义的情报，就得把它们都套进一个统一的模型，将SOC的观点从孤立事件转变为互动实体。将所有这些数据以有意义的方式集成的关键，在于上下文的添加。

技术性事件数据缺乏业务和风险上下文，不能有效驱动优先化的响应。最终，我们的目标不是阻止每个攻击，或者响应来自每个传感器的每一个事件。正如业务连续性计划不追求(也无法)通过确保业务关键过程维持合适的可操作性，来防止所有可能的业务中断和进行风险管理;SOC的目标，就是缓解造成最大业务风险的那些风险因素。

将公司和信息资产上下文嵌入整合的数据模型，可为分析工具和人类操作员提供必要的业务上下文，以基于运营及财务视角看来的重要程度，优先化他们的响应操作。

人的因素是SOC运营最大的挑战。尽管我们都梦想通过完全自动化整个检测和响应过程，来解决技术人才短缺问题，在预见得到的未来，这事儿怕是不太可能梦想成真的。所以，当前的关注重点，应该放在使用机器学习、人工智能和自动化分析工具，来最小化SOC操作员工作所需的知识和手动操作上。这包括了使用行为和风险价值分析工具，来最小化误报，基于业务风险提供给操作员“下一步行动”指示，以及用最少的点击验证和弄懂已确认风险的一套机制。

让SOC操作员更有效工作的逻辑延伸，是为已验证的风险添加自动化响应选项。一旦分析师已经审查并核实了所发现威胁或漏洞的本质，他们应该能够通过点击按钮来采取自动化的行动。

无论公司拥有多少SOC操作员，他们不可能同时身处各方，也不可能完全掌握公司所有人员的具体情况。为取得SOC的最佳效果，以及真正最小化网络风险，需要全员就位，让安全成为每个人的责任。

无论是每个邮箱用户标记潜在网络钓鱼邮件，还是应用拥有者确认自身应用中的不正常行为，公司每个人都应被看做是SOC的信息渠道。这不意味着每个人都是SOC的一部分，但每个人都应该意识到网络风险，有能力告知SOC。

正如每个员工都能提供公司内可疑事件的情报，与其他公司以及政府合作，将提升自家公司预防攻击的可能性。来自供应商、第三方组织和政府信息中心的威胁情报，其共享与实施的增长，对正方的胜利愈加关键。

早期SOC是驯服网络安全这头野兽的关键第一步。就像其它任一关键业务运营一样，最佳实践脱胎于经验教训，而技术创新将更高效地最小化网络安全风险对商业的影响。

是时候实现 SOC 2.0 了!