SOC，安全運營中心，為取得其最佳效果，以及真正最小化網(wǎng)絡(luò)風險，需要全員就位，讓安全成為每個人的責任。

早在幾年前，企業(yè)就開始創(chuàng)建SOC來集中化威脅與漏洞的監(jiān)視和響應。第一代SOC的目標，是集中管理、分析和響應來自多個不同邊界和終端工具的警報與事件。操作員通常坐在特定工具控制臺前，比如DLP，或者將所有日志收集到一個地方的SIEM工具前。另外的可視化與地圖類屏幕也醒目地展示出來，供來訪的高管們巡視。

SOC的誕生，是為了整合響應員工，強化各不同安全域之間的協(xié)作，更加容易地“抓住壞人”。然而，讓員工手動分析成堆的數(shù)據(jù)，從孤立的事件和指標中尋找聯(lián)系，被證明是低效、不可持續(xù)且令人難以承受的，尤其是在數(shù)據(jù)量持續(xù)暴增，而具備資格的分析師增長不足以彌補人才缺口的情況下。

另外，攻擊也越來越復雜和不可檢測，特別是我們?nèi)狈Ω呒壍臋C制以連接上不同傳感器和行為數(shù)據(jù)，那就更加不可能檢測出愈趨復雜的威脅了。

為跟上黑客的腳步，我們需要武裝起操作員，讓他們具備盡快決策并采取最有效行動的能力。

整合或集成不僅僅意味著將數(shù)據(jù)放進一個集中的地方，甚至全都弄到一個工具里。想要從SOC流過的海量數(shù)據(jù)中抽取出真正有意義的情報，就得把它們都套進一個統(tǒng)一的模型，將SOC的觀點從孤立事件轉(zhuǎn)變?yōu)榛訉嶓w。將所有這些數(shù)據(jù)以有意義的方式集成的關(guān)鍵，在于上下文的添加。

技術(shù)性事件數(shù)據(jù)缺乏業(yè)務(wù)和風險上下文，不能有效驅(qū)動優(yōu)先化的響應。最終，我們的目標不是阻止每個攻擊，或者響應來自每個傳感器的每一個事件。正如業(yè)務(wù)連續(xù)性計劃不追求（也無法）通過確保業(yè)務(wù)關(guān)鍵過程維持合適的可操作性，來防止所有可能的業(yè)務(wù)中斷和進行風險管理；SOC的目標，就是緩解造成最大業(yè)務(wù)風險的那些風險因素。

將公司和信息資產(chǎn)上下文嵌入整合的數(shù)據(jù)模型，可為分析工具和人類操作員提供必要的業(yè)務(wù)上下文，以基于運營及財務(wù)視角看來的重要程度，優(yōu)先化他們的響應操作。

人的因素是SOC運營最大的挑戰(zhàn)。盡管我們都夢想通過完全自動化整個檢測和響應過程，來解決技術(shù)人才短缺問題，在預見得到的未來，這事兒怕是不太可能夢想成真的。所以，當前的關(guān)注重點，應該放在使用機器學習、人工智能和自動化分析工具，來最小化SOC操作員工作所需的知識和手動操作上。這包括了使用行為和風險價值分析工具，來最小化誤報，基于業(yè)務(wù)風險提供給操作員“下一步行動”指示，以及用最少的點擊驗證和弄懂已確認風險的一套機制。

讓SOC操作員更有效工作的邏輯延伸，是為已驗證的風險添加自動化響應選項。一旦分析師已經(jīng)審查并核實了所發(fā)現(xiàn)威脅或漏洞的本質(zhì)，他們應該能夠通過點擊按鈕來采取自動化的行動。

無論公司擁有多少SOC操作員，他們不可能同時身處各方，也不可能完全掌握公司所有人員的具體情況。為取得SOC的最佳效果，以及真正最小化網(wǎng)絡(luò)風險，需要全員就位，讓安全成為每個人的責任。

無論是每個郵箱用戶標記潛在網(wǎng)絡(luò)釣魚郵件，還是應用擁有者確認自身應用中的不正常行為，公司每個人都應被看做是SOC的信息渠道。這不意味著每個人都是SOC的一部分，但每個人都應該意識到網(wǎng)絡(luò)風險，有能力告知SOC。

正如每個員工都能提供公司內(nèi)可疑事件的情報，與其他公司以及政府合作，將提升自家公司預防攻擊的可能性。來自供應商、第三方組織和政府信息中心的威脅情報，其共享與實施的增長，對正方的勝利愈加關(guān)鍵。

早期SOC是馴服網(wǎng)絡(luò)安全這頭野獸的關(guān)鍵第一步。就像其它任一關(guān)鍵業(yè)務(wù)運營一樣，最佳實踐脫胎于經(jīng)驗教訓，而技術(shù)創(chuàng)新將更高效地最小化網(wǎng)絡(luò)安全風險對商業(yè)的影響。

是時候?qū)崿F(xiàn) SOC 2.0 了！