SOC，安全運營中心，為取得其最佳效果，以及真正最小化網絡風險，需要全員就位，讓安全成為每個人的責任。

[[183455]]

早在幾年前，企業就開始創建SOC來集中化威脅與漏洞的監視和響應。第一代SOC的目標，是集中管理、分析和響應來自多個不同邊界和終端工具的警報與事件。操作員通常坐在特定工具控制臺前，比如DLP，或者將所有日志收集到一個地方的SIEM工具前。另外的可視化與地圖類屏幕也醒目地展示出來，供來訪的高管們巡視。

SOC的誕生，是為了整合響應員工，強化各不同安全域之間的協作，更加容易地“抓住壞人”。然而，讓員工手動分析成堆的數據，從孤立的事件和指標中尋找聯系，被證明是低效、不可持續且令人難以承受的，尤其是在數據量持續暴增，而具備資格的分析師增長不足以彌補人才缺口的情況下。

另外，攻擊也越來越復雜和不可檢測，特別是我們缺乏更高級的機制以連接上不同傳感器和行為數據，那就更加不可能檢測出愈趨復雜的威脅了。

為跟上黑客的腳步，我們需要武裝起操作員，讓他們具備盡快決策并采取最有效行動的能力。

整合或集成不僅僅意味著將數據放進一個集中的地方，甚至全都弄到一個工具里。想要從SOC流過的海量數據中抽取出真正有意義的情報，就得把它們都套進一個統一的模型，將SOC的觀點從孤立事件轉變為互動實體。將所有這些數據以有意義的方式集成的關鍵，在于上下文的添加。

技術性事件數據缺乏業務和風險上下文，不能有效驅動優先化的響應。最終，我們的目標不是阻止每個攻擊，或者響應來自每個傳感器的每一個事件。正如業務連續性計劃不追求(也無法)通過確保業務關鍵過程維持合適的可操作性，來防止所有可能的業務中斷和進行風險管理;SOC的目標，就是緩解造成最大業務風險的那些風險因素。

將公司和信息資產上下文嵌入整合的數據模型，可為分析工具和人類操作員提供必要的業務上下文，以基于運營及財務視角看來的重要程度，優先化他們的響應操作。

人的因素是SOC運營最大的挑戰。盡管我們都夢想通過完全自動化整個檢測和響應過程，來解決技術人才短缺問題，在預見得到的未來，這事兒怕是不太可能夢想成真的。所以，當前的關注重點，應該放在使用機器學習、人工智能和自動化分析工具，來最小化SOC操作員工作所需的知識和手動操作上。這包括了使用行為和風險價值分析工具，來最小化誤報，基于業務風險提供給操作員“下一步行動”指示，以及用最少的點擊驗證和弄懂已確認風險的一套機制。

讓SOC操作員更有效工作的邏輯延伸，是為已驗證的風險添加自動化響應選項。一旦分析師已經審查并核實了所發現威脅或漏洞的本質，他們應該能夠通過點擊按鈕來采取自動化的行動。

無論公司擁有多少SOC操作員，他們不可能同時身處各方，也不可能完全掌握公司所有人員的具體情況。為取得SOC的最佳效果，以及真正最小化網絡風險，需要全員就位，讓安全成為每個人的責任。

無論是每個郵箱用戶標記潛在網絡釣魚郵件，還是應用擁有者確認自身應用中的不正常行為，公司每個人都應被看做是SOC的信息渠道。這不意味著每個人都是SOC的一部分，但每個人都應該意識到網絡風險，有能力告知SOC。

正如每個員工都能提供公司內可疑事件的情報，與其他公司以及政府合作，將提升自家公司預防攻擊的可能性。來自供應商、第三方組織和政府信息中心的威脅情報，其共享與實施的增長，對正方的勝利愈加關鍵。

早期SOC是馴服網絡安全這頭野獸的關鍵第一步。就像其它任一關鍵業務運營一樣，最佳實踐脫胎于經驗教訓，而技術創新將更高效地最小化網絡安全風險對商業的影響。

是時候實現 SOC 2.0 了!