過去，很多大型企業(yè)部署傳統(tǒng)的安全運營中心（SOC，Security Operations Center）作為對他們信息安全態(tài)勢保持警惕的手段。最流行的模式主要集中在建立大型的指揮中心，在那里派駐大量的分析師協(xié)同工作，對實時安全數(shù)據(jù)進行評估，并進行手動響應(yīng)。我們Forrester Research將這種模式稱為SOC 1.0。盡管這種模式證明了其有效性，但SOC 1.0存在的日子已經(jīng)屈指可數(shù)了。

在當(dāng)前的經(jīng)濟條件下，建設(shè)或者維持一個SOC是一項艱難的預(yù)算提案。事實上，針對SOC成本頗具諷刺意味是，這些SOC中心的設(shè)計初衷是通過將大量安全工程師和分析師集中到一個辦公環(huán)境中來降低處理安全突發(fā)事件的成本。但是時過境遷，隨著威脅的演化，新技術(shù)的崛起，出現(xiàn)了更好的建設(shè)SOC的模式，人們不必建立一個物理的SOC中心就可以完成SOC的各項任務(wù)。Forrester將這種新模式稱作SOC 2.0。

驅(qū)動SOC變革的因素是多樣化的，其中包括網(wǎng)絡(luò)運營中心（NOC，Network Operations Center）的職能轉(zhuǎn)變。傳統(tǒng)的NOC被設(shè)計用于監(jiān)控網(wǎng)絡(luò)級別的事件，并針對企業(yè)網(wǎng)絡(luò)提供第一級別的工作分流和故障排查。但是，隨著企業(yè)開始著手建立更健壯的，基于ITIL的，能夠支撐甚至取代部分安全操作功能的統(tǒng)一運營中心，這意味著一線和二線安全運維操作可以合并在一個運營中心中處理。因此，新型網(wǎng)絡(luò)運營中心的工作人員可以只將最高級別的事件提升到安全運營中心去處理。

隨著NOC和SOC的功能持續(xù)演化，F(xiàn)orrester預(yù)計未來的企業(yè)運營中心將逐漸演變成SOC服務(wù)的消費者。隨著事件提升并超出了當(dāng)前運營中心技術(shù)水平，高水平的安全工程師將會被虛擬地集合在一起，臨時性地去處理這個高級別的安全事件。

這意味著什么？NOC向新型運營中心的變遷將極有益于安全運維工作的開展，并將催生出一種未來的SOC形態(tài)。這種SOC將是虛擬化的——即通過協(xié)同技術(shù)將必要的基本資源整合到一起，并且不必固定在一個特定的地點。這種虛擬化的結(jié)果將使得安全運營中心變成一個針對所有IT的服務(wù)提供者，充分利用聚集在這個新的虛擬SOC（VSOC，Virtual SOC）的人的技能、信息和技術(shù)。這樣一來，最大的好處是整個運營成本的減少：虛擬SOC的運營意味著安全運維工作將變成一項兼職工作。具備最高水平的安全運維人員可以被賦予兼職的職責(zé)，僅在必須對特定突發(fā)事件進行響應(yīng)的時候拉到VSOC中來。

在SOC 2.0中，那些需要更新主動網(wǎng)絡(luò)控制的突發(fā)事件可以提升給這些兼職的VSOC工程師們。他們可以根據(jù)需要改變自己的角色，而不必總是輪班坐在那里盯著一堆監(jiān)控屏看個沒完。這種新的模式可以使更多的分散在組織各個地方的高水平專家聚集在一個虛擬化的協(xié)作環(huán)境中處理各種安全突發(fā)事件。

通過增加這個新的虛擬化元素，SOC 2.0將變得高度依賴那個在出現(xiàn)危機或者需要的時候被通知去處理問題的人員，同時還依賴那些提供突發(fā)事件可視化、并幫助更快進行事故處理的工具和技術(shù)。

因此，為了確保成功，在構(gòu)建您的SOC 2.0的時候必須考慮以下三個步驟：

1．確定核心人員。虛擬團隊的構(gòu)成與傳統(tǒng)SOC 1.0下所需的工程師大不相同，它需要訓(xùn)練有素的、經(jīng)驗豐富的安全和風(fēng)險專家。這些VSOC運維人員必須比NOC工程師更有經(jīng)驗，更訓(xùn)練有素；他們必須是具有某些特長技能的安全專家，例如精通防火墻、VPN，以及IDS/IPS；或者是在特定領(lǐng)域負責(zé)整體安全策略的安全架構(gòu)師。培訓(xùn)和經(jīng)驗尤為重要。同時，這個團隊還應(yīng)提供一套有利于留住員工的激勵機制，使得VSOC工程師們在繼續(xù)各自職業(yè)發(fā)展的同時始終可以并肩戰(zhàn)斗在同一條信息安全的戰(zhàn)壕中。

2．確定核心技術(shù)。安全信息管理（SIM）工具將成為SOC 2.0的核心技術(shù)組件，它可以作為必要的信息庫提供給VSOC成員一幅安全視圖。尤其重要地是，這些信息管理工具必須直觀、易用。這些工具必須具有一個Web接口以便于世界各個角落的瀏覽器都能訪問到，因為VSOC工程師們在處理突發(fā)事件的時候可能分布于世界各處。

其它對于SOC 2.0很重要的工具還包括網(wǎng)絡(luò)監(jiān)控工具——提供對網(wǎng)絡(luò)狀態(tài)的深入感知；以及計算機取證工具——提供對超越服務(wù)中心的事故進行深度調(diào)查。Forrester正準(zhǔn)備將這這些工具集定義為NAV（Network Analysis and Visibility，網(wǎng)絡(luò)分析與可視）。

3．確定核心的職責(zé)和流程。SOC 2.0的成功，以及傳統(tǒng)SOC向VSOC的轉(zhuǎn)變都有賴于將日常安全任務(wù)轉(zhuǎn)化到運營中心去的能力。位于運營中心的指揮中樞必須能夠緩解一線和二線安全突發(fā)事件，并知道何時升級到三線突發(fā)事件，轉(zhuǎn)給VSOC。因此，迫切需要確定VSOC相對于運營中心的核心職責(zé)，并就如何劃分IT安全管理和IT運維之間的職責(zé)達成一致。

圍繞虛擬SOC的最后一個建議是：“利用社會工程”。換句話說，組織應(yīng)該通過使用社會化網(wǎng)絡(luò)工具擴展其VSOC的能力。Forrester設(shè)想了一種未來的場景——不同公司之間的VSOC功能可以相互連接，從而他們可以分享有關(guān)當(dāng)前安全突發(fā)事態(tài)的相關(guān)信息，并協(xié)助同行緩解攻擊。這些公司將能夠進一步受益于提升的態(tài)勢感知能力、增強的可視度，以及獲得大量的知識庫。SOC 2.0的社會性將使得其具有自由的伸縮性，并進一步降低所有參與方的安全運營成本。