未來SOC安全運營中心需三大能力：數據、開放式集成框架和自動化

Google在此前發布的《自動化安全運營中心SOC建設指南》中提到，數字化轉型已經成為全球既定的發展方向，企業上云也因此成為必選項。但與之同時，數字化轉型既給企業帶來了更加創新和高效的模式，也將企業信息安全的管理難度推向了新的高度。

當越來越多的資產走向云端并成為攻擊者的目標，組織暴露在外部的攻擊面也越來越大，傳統安全運營模式已經無法跟上節奏。安全運營團隊需要一個全新的運營模式，以便在數字原生世界保護企業業務的發展，也是數字化時代預防、檢測與應對安全威脅必不可少的舉措。

安全運營離不開自動化安全運營中心（SOC），面對更加復雜更加嚴峻的網絡攻擊威脅，

SOC安全運營中心需要更快、更徹底的解決中包括：警報風暴、魚叉式網絡釣魚、事件響應、威脅搜尋和威脅情報管理等在內的安全運營難題，而這一切只能通過正確的架構方法來實現。

為了更高效和更有效，未來的SOC應該做出哪些變革？或許數據、開放式集成框架和平衡自動化是未來 SOC 的答案。

數據驅動是SOC安全運營中心的命脈

數據是安全的命脈，因為它提供了來自廣泛的內部和外部來源的上下文，包括系統、威脅、漏洞、身份等等。當安全性由數據驅動時，團隊可以專注于相關的高優先級問題，做出最佳決策并采取正確的行動。數據驅動的安全性還提供了一個持續的反饋循環，使團隊能夠捕獲和使用數據來改進未來的分析。

那么，組織應該如何幫助SOC專注于數據呢？

首先應該從組織環境內部聚合事件和相關指標，例如組織內部的 SIEM 系統、日志管理存儲庫、端點檢測和響應 (EDR)、案例管理系統和其他安全基礎設施。通過關聯這些數據以連接各個點并了解事件如何相互關聯，并使用來自訂閱的多個來源（商業、開源、政府、行業、現有安全供應商）的威脅情報數據自動擴充和豐富這些數據，以及像 MITRE ATT&CK 這樣的框架。對來自不同來源、格式和語言的所有這些數據進行規范化，以便對數據進行更深維度的分析。

其次，組織可以將環境內部的事件和相關指標與指標、對手及其方法的外部數據相關聯， 通過了解與組織的相關性，確定應當首先關注的正確數據，以及哪些可以作為外圍數據，進而更高效的開展數據分析工作。

分配風險評分的能力使安全團隊可以根據組織所在行業特定的風險概況對數據進行優先級排序。使用圍繞源、類型、屬性和上下文以及對手屬性設置的參數來過濾掉噪音，并優先考慮真正重要的事情。

數據驅動安全的方法能夠在企業內部構造一個安全閉環，根據優先級、威脅、活動和漏洞等相關數據不斷更新，收集更多數據和上下文，并通過數據分析和應用來更新優先級和評分以實現持續改進。但事實上，專注于數據的能力只是未來 SOC 需要高效和有效的核心能力之一。

開放式集成框架是未來SOC的第二大核心

首先必須強調的是，未來的 SOC 必須是數據驅動的，因此系統和工具必須能夠協同工作，并且需要確保數據鞥能夠在整個基礎框架中有序的流動。開放的重要性在今天已經無需多言，無論是SOC還是XDR，只有基于開放式的架構方法才能夠有效的運轉。

事實上，安全分析所需要的數據來自多種不同的技術、威脅源和其他第三方來源。一份業內的研究曾提到，平均而言，一家大型組織機構可能會擁有45 種不同的安全工具。通常而言，組織會依賴某一家“大型供應商”來集中解決其中大部分安全任務，但仍然也會采購幾家小型供應商，以補充大型供應商覆蓋面的不足。組織內部的安全協同需要一個集成工具來完成，一個開放的集成架構將解決所有這些場景：與當今的安全團隊合作，實現與各個工具的集成。

在一次安全事件爆發后，組織需要快速卻全面的啟動應急響應工作，因此往往要聯動多個安全產品以查找整個組織內部中相關聯的資產和數據。將這些單點的安全工具連接起來并通過額外的情景化智能數據分析，便需要跨工具的深度集成，以便團隊能夠充分了解如何補救和響應事件。因此，雙向集成使數據能夠流入和流出，自動將相關策略和命令發送回防御網格中的正確工具中，以加快響應速度。

因此，數據驅動的SOC必須要以開放式集成框架來協同。除此以外，未來SOC還需要最后一個高效和有效的構建模塊——平衡自動化與人工參與的能力。

讓自動化在人與機器之間找到平衡是未來SOC的第三個基石

當前，在談及SOC的自動化時，有部分安全專家支持自動化SOC內的一切，但事實上，完全的自動化帶來的挑戰會更加難以想象。因此，探索一種在人與機器之間找到平衡的自動化方法才是正確方向。SOC的最佳性價比應該是讓自動化能夠大范圍應用到重復性、低風險、耗時的任務，同時讓安全專家主導那些不規則、影響大、時間敏感的告警，當人與機器之間取得平衡時，自動化可確保團隊始終擁有完成工作的最佳工具。

一方面，攻擊者正在變得更加狡猾，他們也正在嘗試轉向以復雜的策略突破組織防線。因此，檢測與響應技術的重點也已經從發現一次攻擊，轉向了發現一次攻擊在組織內部已經實際造成的攻擊影響，并根據資產的情況，輔助安全專家更輕松、更高效的識別到不同攻擊行為之間的關聯，精準的發現那些針對整個組織發起的惡意活動。

另一方面，如果能夠將安全專家個人沉淀下來的知識和經驗帶入到SOC的流程中，便能夠極大的增強攻擊事件溯源的時效性，例如，如果目標包括財務部門、人力資源或最高管理層，這可能表明存在更嚴重的威脅。從那里，他們可以轉向描述活動、對手及其策略、技術和程序 (TTP) 的 MITRE ATT&CK 等外部數據源，以了解有關惡意軟件的更多信息，然后進一步擴大搜索范圍。如果他們發現某個指標與特定的活動或對手相關聯，是否有相關的工件需要在其他工具中尋找以確認惡意活動的存在？還可以將哪些其他智能部署到基礎架構以進行未來攔截？這種復雜程度的調查工作再交由通過自動化來協作。這是驗證數據和發現、連接點并揭示包括所有受影響系統的攻擊全貌，而不是單個系統上的單個事件的最有效和最有效的方法。

因此，當自動化在人與機器之間有意識地平衡時，SOC便能夠發揮最大功效，再與開放集成框架支持的數據驅動的安全方法相結合時，SOC 擁有了更高效、更徹底地工作以更好地管理當前和未來風險所需的基礎。