隨著云計算、大數據、人工智能等新技術的融發發展和應用，數字化轉型已經成為全球既定的發展方向，企業上云也因此成為必選項。然而，數字化轉型既給企業帶來了更加創新和高效的模式，也將企業信息安全的管理難度推向了新的高度。

當越來越多的資產走向云端并成為攻擊者的目標，傳統安全運營模式已經無法跟上節奏。安全運營團隊需要一個全新的運營模式，以便在數字原生世界保護企業業務的發展，也是數字化時代預防、檢測與應對安全威脅必不可少的舉措。

安全運營離不開自動化安全運營中心（SOC），對于安全運營的變革自然也繞不過SOC，與數字化轉型類似,SOC自動化轉型涉及思維文化、領導層的投資以及人員效率等多個層面。

為了深入研究，Google發布《自動化安全運營中心SOC建設指南》，從SOC轉型的意義、自動化安全運營的定義，以及實現自動化安全運營的具體方法三個維度探討未來自動化SOC的建設方向。

SOC是安全運營的核心點

早期的SOC被業界認為最適合為用戶提供威脅檢測和應急響應能力。因為它不僅涉及安全事件的收集、歸并和關聯分析，同時還提供對各種安全設備的配置及策略管理，提供安全設備之間的聯動能力，可以滿足安全運營持續維護和優化的目標。

隨著網絡安全的不斷發展，各類攻擊方法和工具也在不斷發生變化，SOC所承擔的目標也在不斷增加，逐漸成為安全運營的核心點之一。近年來，我國陸續出臺了多部網絡安全法律法規、企業合規需求越發清晰，SOC也開始逐步承擔合規監控的目標。

就目前來看，SOC的核心功能主要包括威脅檢測、響應、基于上下文安全事件的反饋，以及因具體企業/行業而異的其他輔助性功能，可大大減少人力在高重復、低效率任務中的消耗。

例如，SOC能夠對各種多源異構數據源產生的信息進行收集、過濾、格式化、 歸并、存儲，并提供了諸如模式匹配、 風險分析、異常檢測等能力，使用戶對整個網絡的運行狀態進行實時監控和管理，對各種資產(主機、服務器、IDS、IPS、WAF等)進行脆弱性評估，對各種安全事件進行分析、統計和關聯，并及時發布預警，提供快速響應能力。

我們會發現，SOC雖然一直在不斷成長和發展，但是其本質作用卻沒有發生變化，依舊是以自動化的方式輔助安全人員更快、更準的找到威脅，做好檢測和響應。未來，隨著網絡攻擊趨于自動化和復雜化，網絡安全將更加依賴自動化，SOC所能展現的價值也將會更加明顯。

SOC轉型的意義

正如上文所說，目前SOC的本質作用并沒有發生變化，但是其外部環境已經有了很大的不同。SOC建設再一次來了十字路口，此時企業需要思考一個新的問題：未來10年，我們究竟該如何建設SOC？

1、業務轉型

隨著云計算的出現，現代計算架構變得更加復雜。通過規模經濟，云提供商推動企業進行數字化轉型的成本高于前云時代。但是，隨著企業數字化轉型的加速進行，越來越多的產品、業務和服務正在大規模轉至云上。

與此同時，威脅者和攻擊者也將目標瞄準了數字原生，大規模破壞、純粹財務收益、黑客行動主義、競爭情報和知識產權或地緣政治動機成為攻擊者的目標和驅動力。

這些導致在數字原生時代，SOC所面臨的威脅檢測范圍和復雜性呈現出指數級增長的趨勢，也進一步增大了企業SOC的管理難度。

2、攻擊面擴大

后疫情時代，疫情防控措施日漸嚴格，企業遠程辦公、學校遠程授課的需求進一步增加，并向常態化轉變，各類主體對互聯網的依賴呈指數級增長，以網絡為中心的安全模型被以身份為中心的訪問模型所替代。

威脅建模仍然存在，且比以往任何時候都重要。雖然 DevOps 團隊構建、部署和管理這個新的基礎設施棧，但 SOC 通常不具備云技術棧如何工作的內在知識，且沒有多少時間在云中增加和建立深度。

此外，網絡安全風險進一步增加且正在擴展到傳統的SOC的范圍之外，適用于欺詐、身份盜竊和傳統上由其他團隊處理的威脅。傳統方法無法檢測到高度持續的新型安全威脅，需要依靠強大的威脅引擎與可靠的威脅情報。

3、人才稀缺

網絡安全行業人才缺口正在持續擴大，企業對于安全人才的需求日益增長。由于網絡安全是一個具有挑戰的行業，導致人才稀缺的問題無法單純依靠雇傭更多的人來解決，勞動率的效率及技術水平更為重要。

例如在安全運營團隊中，SOC所需要的人才種類是多樣的，其中包括分析師、統計專家、數據科學家、事件響應者、安全工程師等，未來隨著SOC的轉變，所需要的角色種類還將進一步增加。

更重要的是，安全團隊是成本中心，而不是創收團隊，出于成本衡量，企業會有目的壓制安全團隊規模，因此想要大量增加安全人員幾乎不可能。再加上網絡安全工作無法具體量化，其蘊含的風險在沒有爆發之前無法體現出價值，這也導致在沒有巨大的合規壓力和事件驅動的前提下，企業更傾向維持現狀，而不是繼續加大對安全團隊的投資。

人才稀缺自然也導致SOC團隊面臨著巨大的壓力，也就意味著他們沒有多少時間來提升自己，反過來進一步擴大了人才的缺口。

4、為何未來SOC需要轉型

隨著新產業、新技術的不斷出現，新的計算設施棧和新的數據源也在不斷出現。預計到2025年，全球 50% 的數據將會被存儲在云上，其中包含了當前SOC模型無法主動檢測和響應的數據。而新的計算實施棧也讓攻擊者發掘了更多新的攻擊方法。

另一方面，企業供應鏈繼續增長并變得更加復雜，全球軟件供應鏈風險正在直線上升，各類開源技術和庫中潛藏的風險將成為企業開發的定時炸彈。

因此，未來SOC將要滿足適應指數級增長的數據、高度持續和不斷擴大的攻擊、與無止盡的人才流失等問題。很明顯，當下的SOC模型無法勝任這一工作，我們需要一個新的模型，讓SOC 擺脫僵化、孤島和運營中心的現狀，以自動化安全運營來應對無限變化的未來。

自動化安全運營的定義

自動化安全運營是理念、實踐和工具的組合，可通過適應性、敏捷和高度自動化的威脅管理方法提高組織抵御安全挑戰的能力。我們可以從以下4個維度進行指數級改進：10倍的人力、10倍的技術成熟度、10倍流程效率、10倍影響因素建設。

1、10倍人力

注意，10倍人力是指人員工作效率提升10倍，而非人員增加10倍，在安全人才匱乏的今天，想要增加10倍人員顯然不現實。

具體改進方法：提升10倍分析師效率、10倍威脅資產覆蓋率以及10倍資源共享能力。

2、10倍流程效率

鑒于威脅形勢不斷變化，攻擊面不斷演變，以及越來越的安全告警，安全團隊需要開發一種自適應方法來優化新的和現有的流程。在這個過程中，自動化將發揮極大的作用。

改進方法：進一步優化SOC流程的關鍵步驟，提升檢測工具快速響應查詢效率，顯著加快響應時間，通過規則、算法和機器模型的形式創建檢測邏輯；進一步減少SOC內部，SOC與其他組織之間的工作量和流程摩擦。

3、10倍技術成熟度

SOC龐大的工具數量以及各產品之間缺乏聯動嚴重降低了SOC的效率，即使具有高度差異化的能力和非常不同的意圖，技術也需要推動更統一的方法。只有技術開始對其集成有更多的語義意識，SOC工作流程才能真正得到優化。

改進方法：10倍可感知能力、10倍響應速度、10倍的情報量、降低10倍TCO。

4、10倍影響力建設

建立一個極具影響力的安全運營專家團隊將成為變革性 SOC 中最有價值的元素之一。同時還需要一個完善的漏洞管理計劃，以自動化的方式完成漏洞發現、評估和修復的工作。SOC還需要和其他關鍵團隊保持緊密聯系，遵循同理心的方法定制解決方案，大規模適應開發人員需求，最大限度減少告警數量。

實現自動化安全的運營的具體方法

將SOC 從純人工運營轉變為自動化安全運營是一個長期的過程，實現自動化安全運營需要將理念、實踐與工具相結合，單一指標的改進無法從本質上改變SOC形態，系統性的轉型主要依賴人員、技術、流程與影響力四個維度。

1、人員轉型

戰術性方法：培養分析人員開發與檢測的方法、雇用合作伙伴來增強團隊建設、為員工提供培訓及獲取相應資質證書的機會、盡可能保證員工工作-生活相平衡以提升員工工作積極性。

戰略性方法：靈活輪換工程師與分析師、提供全面的入職培訓和技能發展計劃、提供拓展機會、職業定位和領導力培訓、改進招聘計劃，以培養有技能的人才與有技能的員工。

轉型性方法：聯合工作人員實現跨組織范圍的風險協同運作、完善人才的持續發展建設，建設可持續的晉升渠道、提升員工參與度，讓員工參與會談、演講、會議等項目。

2、流程轉型

戰術性方法：改進告警分類、融入威脅情報、優化檢測工程。

戰略性方法：對威脅告警進行定期分診、改進威脅情報、利用上下文關聯優化檢測工程、自動化警報分類流程。

轉型性方法：將威脅狩獵與探測工程相融合、創建威脅情報、采用SRE方法來自動化SOC中的工作流。

3、技術轉型

戰術性方法： 提升SIEM使用率、將基于云的可見性納入檢測與相應的使用情形中、利用上下文豐富產品信號。

戰略性方法：在SIEM中融入NDR、EDR、融入SOAR能力、覆蓋云環境、匹配Mitre與技術信號和檢測內容。

轉型性方法：實現傳感器高度自動化融合、 構建機器學習/人工智能以更高階地檢測數據、盡可能與供應商/合作伙伴共同開發技術功能、優化技術TCO，為人員和流程改進節省預算。

4、影響力轉型

戰術性方法： 建立與項目所有者協作的流程，以便采取行動、就威脅的生命周期對團隊進行培訓和教育、確保SOC與漏洞管理團隊保持緊密聯系。

戰略性方法： 自動化反饋機制、引入DevOps架構、通過警報自動還原漏洞事件。

轉型性方法：自動執行響應操作以最大限度地減少對SOC的警報、聯合SOC與GRC合作伙伴、自動執行從技術信息到漏洞團隊的反饋循環，以修補零日和高優先級威脅向量。

結語

數字化轉型是當下企業面臨的重要課題。在數字化轉型過程中，每個企業都無法回避來自網絡攻擊的困擾。在這個過程中，SOC已經到了變革的轉折點。而這份Google發布《自動化安全運營中心SOC建設指南》可提供相應的指導和參考。

當然，對于SOC的轉型建設也并非一朝一夕就可完成，但是企業安全團隊和負責人應該積極思考一個問題：我們該如何推動組織變革，以實現自動化安全運營的目標，不斷提升檢測和響應數字威脅的能力，保護企業數字原生資產不受侵害。