網絡安全中絕對“流行”的趨勢之一是安全運營中心 (SOC) 現代化。越來越多的證據表明，這不是是否會受到攻擊的問題，而是何時以及如何攻擊一個組織。有了這個前提，我們看到 SOC 縮小了他們成為檢測和響應組織的使命的重點，需要某些構建塊來為未來的 SOC做好準備。

之前，談到數據是 SOC 現代化的第一個構建塊。數據是安全的命脈，因為它提供了來自廣泛的內部和外部來源的上下文，包括系統、威脅、漏洞、身份等等。當安全性由數據驅動時，團隊可以專注于相關的高優先級問題，做出最佳決策并采取正確的行動。數據驅動的安全性還提供了一個持續的反饋循環，使團隊能夠捕獲和使用數據來改進未來的分析。

第二個構建塊建立在數據之上，是一個開放式集成架構，可確保系統和工具可以協同工作，并且數據可以在整個基礎架構中流動。來自ESG的Jon Oltsik 在推特上強調了對這種架構的需求：“到 2022 年，業界將認識到 XDR 必須是一個開放且靈活的架構。” 隨著 SOC 成為檢測和響應組織，擴展檢測和響應 (XDR) 成為關鍵能力，只有基于開放式架構方法才能有效執行。

開放性很重要，原因如下：

沒有干凈的石板。團隊分析所需的數據來自多種不同的技術、威脅源和其他第三方來源。最近的一項研究發現，平均而言，組織擁有超過45 種不同的安全工具在大多數情況下，彼此不交互。隨著時間的推移，隨著不同的團隊、預算和部門做出獨立決策，這種情況自然會發生。他們可能依賴少數“大型供應商”來處理大部分安全任務，但通常他們也使用同類最佳供應商來控制大型供應商沒有或不擅長的控制。還有交易的問題使用團隊仍然需要使用的本地工具，至少在短期內完全過渡到云之前。一些組織擁有需要內部集成的工具，意味著他們需要 API 以便他們可以編寫自己的集成。一個開放的集成架構將解決所有這些場景：與當今的安全團隊合作，實現與專有工具的集成，

并購(M&A)發生。許多組織通過并購發展壯大，而不是統一其安全技術以符合上級組織的要求，至少在短期內他們維護著獨立的系統。組織還可以允許業務部門有一定的自主權來部署他們需要的工具來支持他們的獨特需求。集成必須廣泛，以涵蓋企業在任何地方擁有的任何工具。

新的用例需要協作。未來的 SOC 必須能夠處理正常操作和其他用例，包括威脅檢測和監控、調查、事件響應和搜尋。對這些用例的支持需要團隊和工具快速高效地協同工作。支持這些用例的數據、團隊和工具遍布整個典型組織。具有雙向集成的開放式架構使團隊能夠將數據和工具整合在一起，以進行分析和決策，形成一個共同的工作界面。

最終，關于更快地采取正確的行動。全面響應需要超越一個文件或系統來查找整個組織中的所有相關事件和數據。將這些點連接起來并通過額外的智能進行情境化需要跨工具的深度集成，以便團隊能夠充分了解如何補救和響應事件。雙向集成使數據能夠流入和流出，立即自動將相關策略和命令發送回防御網格中的正確工具，以加快響應速度。

允許持續改進。循環往復，雙向集成支持從響應中捕獲和存儲數據的能力，以便隨著時間的推移進行學習和改進。團隊在公共工作界面中分享評論和觀察的能力，以及新數據可用時的入站流量，有助于 SOC 隨著威脅的發展繼續加強檢測和響應。

未來的 SOC 必須是數據驅動的，因此系統和工具必須能夠協同工作。開放式集成架構提供了對來自技術、威脅源和其他第三方來源的數據的最大訪問權限，并能夠在做出決定后推動對這些技術采取行動。但是，現代 SOC 還需要一個高效和有效地構建模塊——平衡自動化與人工參與的能力。