隨著云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的融發(fā)發(fā)展和應(yīng)用，數(shù)字化轉(zhuǎn)型已經(jīng)成為全球既定的發(fā)展方向，企業(yè)上云也因此成為必選項(xiàng)。然而，數(shù)字化轉(zhuǎn)型既給企業(yè)帶來(lái)了更加創(chuàng)新和高效的模式，也將企業(yè)信息安全的管理難度推向了新的高度。

當(dāng)越來(lái)越多的資產(chǎn)走向云端并成為攻擊者的目標(biāo)，傳統(tǒng)安全運(yùn)營(yíng)模式已經(jīng)無(wú)法跟上節(jié)奏。安全運(yùn)營(yíng)團(tuán)隊(duì)需要一個(gè)全新的運(yùn)營(yíng)模式，以便在數(shù)字原生世界保護(hù)企業(yè)業(yè)務(wù)的發(fā)展，也是數(shù)字化時(shí)代預(yù)防、檢測(cè)與應(yīng)對(duì)安全威脅必不可少的舉措。

安全運(yùn)營(yíng)離不開(kāi)自動(dòng)化安全運(yùn)營(yíng)中心（SOC），對(duì)于安全運(yùn)營(yíng)的變革自然也繞不過(guò)SOC，與數(shù)字化轉(zhuǎn)型類似,SOC自動(dòng)化轉(zhuǎn)型涉及思維文化、領(lǐng)導(dǎo)層的投資以及人員效率等多個(gè)層面。

為了深入研究，Google發(fā)布《自動(dòng)化安全運(yùn)營(yíng)中心SOC建設(shè)指南》，從SOC轉(zhuǎn)型的意義、自動(dòng)化安全運(yùn)營(yíng)的定義，以及實(shí)現(xiàn)自動(dòng)化安全運(yùn)營(yíng)的具體方法三個(gè)維度探討未來(lái)自動(dòng)化SOC的建設(shè)方向。

SOC是安全運(yùn)營(yíng)的核心點(diǎn)

早期的SOC被業(yè)界認(rèn)為最適合為用戶提供威脅檢測(cè)和應(yīng)急響應(yīng)能力。因?yàn)樗粌H涉及安全事件的收集、歸并和關(guān)聯(lián)分析，同時(shí)還提供對(duì)各種安全設(shè)備的配置及策略管理，提供安全設(shè)備之間的聯(lián)動(dòng)能力，可以滿足安全運(yùn)營(yíng)持續(xù)維護(hù)和優(yōu)化的目標(biāo)。

隨著網(wǎng)絡(luò)安全的不斷發(fā)展，各類攻擊方法和工具也在不斷發(fā)生變化，SOC所承擔(dān)的目標(biāo)也在不斷增加，逐漸成為安全運(yùn)營(yíng)的核心點(diǎn)之一。近年來(lái)，我國(guó)陸續(xù)出臺(tái)了多部網(wǎng)絡(luò)安全法律法規(guī)、企業(yè)合規(guī)需求越發(fā)清晰，SOC也開(kāi)始逐步承擔(dān)合規(guī)監(jiān)控的目標(biāo)。

就目前來(lái)看，SOC的核心功能主要包括威脅檢測(cè)、響應(yīng)、基于上下文安全事件的反饋，以及因具體企業(yè)/行業(yè)而異的其他輔助性功能，可大大減少人力在高重復(fù)、低效率任務(wù)中的消耗。

例如，SOC能夠?qū)Ω鞣N多源異構(gòu)數(shù)據(jù)源產(chǎn)生的信息進(jìn)行收集、過(guò)濾、格式化、 歸并、存儲(chǔ)，并提供了諸如模式匹配、 風(fēng)險(xiǎn)分析、異常檢測(cè)等能力，使用戶對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和管理，對(duì)各種資產(chǎn)(主機(jī)、服務(wù)器、IDS、IPS、WAF等)進(jìn)行脆弱性評(píng)估，對(duì)各種安全事件進(jìn)行分析、統(tǒng)計(jì)和關(guān)聯(lián)，并及時(shí)發(fā)布預(yù)警，提供快速響應(yīng)能力。

我們會(huì)發(fā)現(xiàn)，SOC雖然一直在不斷成長(zhǎng)和發(fā)展，但是其本質(zhì)作用卻沒(méi)有發(fā)生變化，依舊是以自動(dòng)化的方式輔助安全人員更快、更準(zhǔn)的找到威脅，做好檢測(cè)和響應(yīng)。未來(lái)，隨著網(wǎng)絡(luò)攻擊趨于自動(dòng)化和復(fù)雜化，網(wǎng)絡(luò)安全將更加依賴自動(dòng)化，SOC所能展現(xiàn)的價(jià)值也將會(huì)更加明顯。

SOC轉(zhuǎn)型的意義

正如上文所說(shuō)，目前SOC的本質(zhì)作用并沒(méi)有發(fā)生變化，但是其外部環(huán)境已經(jīng)有了很大的不同。SOC建設(shè)再一次來(lái)了十字路口，此時(shí)企業(yè)需要思考一個(gè)新的問(wèn)題：未來(lái)10年，我們究竟該如何建設(shè)SOC？

1、業(yè)務(wù)轉(zhuǎn)型

隨著云計(jì)算的出現(xiàn)，現(xiàn)代計(jì)算架構(gòu)變得更加復(fù)雜。通過(guò)規(guī)模經(jīng)濟(jì)，云提供商推動(dòng)企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的成本高于前云時(shí)代。但是，隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速進(jìn)行，越來(lái)越多的產(chǎn)品、業(yè)務(wù)和服務(wù)正在大規(guī)模轉(zhuǎn)至云上。

與此同時(shí)，威脅者和攻擊者也將目標(biāo)瞄準(zhǔn)了數(shù)字原生，大規(guī)模破壞、純粹財(cái)務(wù)收益、黑客行動(dòng)主義、競(jìng)爭(zhēng)情報(bào)和知識(shí)產(chǎn)權(quán)或地緣政治動(dòng)機(jī)成為攻擊者的目標(biāo)和驅(qū)動(dòng)力。

這些導(dǎo)致在數(shù)字原生時(shí)代，SOC所面臨的威脅檢測(cè)范圍和復(fù)雜性呈現(xiàn)出指數(shù)級(jí)增長(zhǎng)的趨勢(shì)，也進(jìn)一步增大了企業(yè)SOC的管理難度。

2、攻擊面擴(kuò)大

后疫情時(shí)代，疫情防控措施日漸嚴(yán)格，企業(yè)遠(yuǎn)程辦公、學(xué)校遠(yuǎn)程授課的需求進(jìn)一步增加，并向常態(tài)化轉(zhuǎn)變，各類主體對(duì)互聯(lián)網(wǎng)的依賴呈指數(shù)級(jí)增長(zhǎng)，以網(wǎng)絡(luò)為中心的安全模型被以身份為中心的訪問(wèn)模型所替代。

威脅建模仍然存在，且比以往任何時(shí)候都重要。雖然 DevOps 團(tuán)隊(duì)構(gòu)建、部署和管理這個(gè)新的基礎(chǔ)設(shè)施棧，但 SOC 通常不具備云技術(shù)棧如何工作的內(nèi)在知識(shí)，且沒(méi)有多少時(shí)間在云中增加和建立深度。

此外，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)一步增加且正在擴(kuò)展到傳統(tǒng)的SOC的范圍之外，適用于欺詐、身份盜竊和傳統(tǒng)上由其他團(tuán)隊(duì)處理的威脅。傳統(tǒng)方法無(wú)法檢測(cè)到高度持續(xù)的新型安全威脅，需要依靠強(qiáng)大的威脅引擎與可靠的威脅情報(bào)。

3、人才稀缺

網(wǎng)絡(luò)安全行業(yè)人才缺口正在持續(xù)擴(kuò)大，企業(yè)對(duì)于安全人才的需求日益增長(zhǎng)。由于網(wǎng)絡(luò)安全是一個(gè)具有挑戰(zhàn)的行業(yè)，導(dǎo)致人才稀缺的問(wèn)題無(wú)法單純依靠雇傭更多的人來(lái)解決，勞動(dòng)率的效率及技術(shù)水平更為重要。

例如在安全運(yùn)營(yíng)團(tuán)隊(duì)中，SOC所需要的人才種類是多樣的，其中包括分析師、統(tǒng)計(jì)專家、數(shù)據(jù)科學(xué)家、事件響應(yīng)者、安全工程師等，未來(lái)隨著SOC的轉(zhuǎn)變，所需要的角色種類還將進(jìn)一步增加。

更重要的是，安全團(tuán)隊(duì)是成本中心，而不是創(chuàng)收?qǐng)F(tuán)隊(duì)，出于成本衡量，企業(yè)會(huì)有目的壓制安全團(tuán)隊(duì)規(guī)模，因此想要大量增加安全人員幾乎不可能。再加上網(wǎng)絡(luò)安全工作無(wú)法具體量化，其蘊(yùn)含的風(fēng)險(xiǎn)在沒(méi)有爆發(fā)之前無(wú)法體現(xiàn)出價(jià)值，這也導(dǎo)致在沒(méi)有巨大的合規(guī)壓力和事件驅(qū)動(dòng)的前提下，企業(yè)更傾向維持現(xiàn)狀，而不是繼續(xù)加大對(duì)安全團(tuán)隊(duì)的投資。

人才稀缺自然也導(dǎo)致SOC團(tuán)隊(duì)面臨著巨大的壓力，也就意味著他們沒(méi)有多少時(shí)間來(lái)提升自己，反過(guò)來(lái)進(jìn)一步擴(kuò)大了人才的缺口。

4、為何未來(lái)SOC需要轉(zhuǎn)型

隨著新產(chǎn)業(yè)、新技術(shù)的不斷出現(xiàn)，新的計(jì)算設(shè)施棧和新的數(shù)據(jù)源也在不斷出現(xiàn)。預(yù)計(jì)到2025年，全球 50% 的數(shù)據(jù)將會(huì)被存儲(chǔ)在云上，其中包含了當(dāng)前SOC模型無(wú)法主動(dòng)檢測(cè)和響應(yīng)的數(shù)據(jù)。而新的計(jì)算實(shí)施棧也讓攻擊者發(fā)掘了更多新的攻擊方法。

另一方面，企業(yè)供應(yīng)鏈繼續(xù)增長(zhǎng)并變得更加復(fù)雜，全球軟件供應(yīng)鏈風(fēng)險(xiǎn)正在直線上升，各類開(kāi)源技術(shù)和庫(kù)中潛藏的風(fēng)險(xiǎn)將成為企業(yè)開(kāi)發(fā)的定時(shí)炸彈。

因此，未來(lái)SOC將要滿足適應(yīng)指數(shù)級(jí)增長(zhǎng)的數(shù)據(jù)、高度持續(xù)和不斷擴(kuò)大的攻擊、與無(wú)止盡的人才流失等問(wèn)題。很明顯，當(dāng)下的SOC模型無(wú)法勝任這一工作，我們需要一個(gè)新的模型，讓SOC 擺脫僵化、孤島和運(yùn)營(yíng)中心的現(xiàn)狀，以自動(dòng)化安全運(yùn)營(yíng)來(lái)應(yīng)對(duì)無(wú)限變化的未來(lái)。

自動(dòng)化安全運(yùn)營(yíng)的定義

自動(dòng)化安全運(yùn)營(yíng)是理念、實(shí)踐和工具的組合，可通過(guò)適應(yīng)性、敏捷和高度自動(dòng)化的威脅管理方法提高組織抵御安全挑戰(zhàn)的能力。我們可以從以下4個(gè)維度進(jìn)行指數(shù)級(jí)改進(jìn)：10倍的人力、10倍的技術(shù)成熟度、10倍流程效率、10倍影響因素建設(shè)。

1、10倍人力

注意，10倍人力是指人員工作效率提升10倍，而非人員增加10倍，在安全人才匱乏的今天，想要增加10倍人員顯然不現(xiàn)實(shí)。

具體改進(jìn)方法：提升10倍分析師效率、10倍威脅資產(chǎn)覆蓋率以及10倍資源共享能力。

2、10倍流程效率

鑒于威脅形勢(shì)不斷變化，攻擊面不斷演變，以及越來(lái)越的安全告警，安全團(tuán)隊(duì)需要開(kāi)發(fā)一種自適應(yīng)方法來(lái)優(yōu)化新的和現(xiàn)有的流程。在這個(gè)過(guò)程中，自動(dòng)化將發(fā)揮極大的作用。

改進(jìn)方法：進(jìn)一步優(yōu)化SOC流程的關(guān)鍵步驟，提升檢測(cè)工具快速響應(yīng)查詢效率，顯著加快響應(yīng)時(shí)間，通過(guò)規(guī)則、算法和機(jī)器模型的形式創(chuàng)建檢測(cè)邏輯；進(jìn)一步減少SOC內(nèi)部，SOC與其他組織之間的工作量和流程摩擦。

3、10倍技術(shù)成熟度

SOC龐大的工具數(shù)量以及各產(chǎn)品之間缺乏聯(lián)動(dòng)嚴(yán)重降低了SOC的效率，即使具有高度差異化的能力和非常不同的意圖，技術(shù)也需要推動(dòng)更統(tǒng)一的方法。只有技術(shù)開(kāi)始對(duì)其集成有更多的語(yǔ)義意識(shí)，SOC工作流程才能真正得到優(yōu)化。

改進(jìn)方法：10倍可感知能力、10倍響應(yīng)速度、10倍的情報(bào)量、降低10倍TCO。

4、10倍影響力建設(shè)

建立一個(gè)極具影響力的安全運(yùn)營(yíng)專家團(tuán)隊(duì)將成為變革性 SOC 中最有價(jià)值的元素之一。同時(shí)還需要一個(gè)完善的漏洞管理計(jì)劃，以自動(dòng)化的方式完成漏洞發(fā)現(xiàn)、評(píng)估和修復(fù)的工作。SOC還需要和其他關(guān)鍵團(tuán)隊(duì)保持緊密聯(lián)系，遵循同理心的方法定制解決方案，大規(guī)模適應(yīng)開(kāi)發(fā)人員需求，最大限度減少告警數(shù)量。

實(shí)現(xiàn)自動(dòng)化安全的運(yùn)營(yíng)的具體方法

將SOC 從純?nèi)斯み\(yùn)營(yíng)轉(zhuǎn)變?yōu)樽詣?dòng)化安全運(yùn)營(yíng)是一個(gè)長(zhǎng)期的過(guò)程，實(shí)現(xiàn)自動(dòng)化安全運(yùn)營(yíng)需要將理念、實(shí)踐與工具相結(jié)合，單一指標(biāo)的改進(jìn)無(wú)法從本質(zhì)上改變SOC形態(tài)，系統(tǒng)性的轉(zhuǎn)型主要依賴人員、技術(shù)、流程與影響力四個(gè)維度。

1、人員轉(zhuǎn)型

戰(zhàn)術(shù)性方法：培養(yǎng)分析人員開(kāi)發(fā)與檢測(cè)的方法、雇用合作伙伴來(lái)增強(qiáng)團(tuán)隊(duì)建設(shè)、為員工提供培訓(xùn)及獲取相應(yīng)資質(zhì)證書(shū)的機(jī)會(huì)、盡可能保證員工工作-生活相平衡以提升員工工作積極性。

戰(zhàn)略性方法：靈活輪換工程師與分析師、提供全面的入職培訓(xùn)和技能發(fā)展計(jì)劃、提供拓展機(jī)會(huì)、職業(yè)定位和領(lǐng)導(dǎo)力培訓(xùn)、改進(jìn)招聘計(jì)劃，以培養(yǎng)有技能的人才與有技能的員工。

轉(zhuǎn)型性方法：聯(lián)合工作人員實(shí)現(xiàn)跨組織范圍的風(fēng)險(xiǎn)協(xié)同運(yùn)作、完善人才的持續(xù)發(fā)展建設(shè)，建設(shè)可持續(xù)的晉升渠道、提升員工參與度，讓員工參與會(huì)談、演講、會(huì)議等項(xiàng)目。

2、流程轉(zhuǎn)型

戰(zhàn)術(shù)性方法：改進(jìn)告警分類、融入威脅情報(bào)、優(yōu)化檢測(cè)工程。

戰(zhàn)略性方法：對(duì)威脅告警進(jìn)行定期分診、改進(jìn)威脅情報(bào)、利用上下文關(guān)聯(lián)優(yōu)化檢測(cè)工程、自動(dòng)化警報(bào)分類流程。

轉(zhuǎn)型性方法：將威脅狩獵與探測(cè)工程相融合、創(chuàng)建威脅情報(bào)、采用SRE方法來(lái)自動(dòng)化SOC中的工作流。

3、技術(shù)轉(zhuǎn)型

戰(zhàn)術(shù)性方法： 提升SIEM使用率、將基于云的可見(jiàn)性納入檢測(cè)與相應(yīng)的使用情形中、利用上下文豐富產(chǎn)品信號(hào)。

戰(zhàn)略性方法：在SIEM中融入NDR、EDR、融入SOAR能力、覆蓋云環(huán)境、匹配Mitre與技術(shù)信號(hào)和檢測(cè)內(nèi)容。

轉(zhuǎn)型性方法：實(shí)現(xiàn)傳感器高度自動(dòng)化融合、 構(gòu)建機(jī)器學(xué)習(xí)/人工智能以更高階地檢測(cè)數(shù)據(jù)、盡可能與供應(yīng)商/合作伙伴共同開(kāi)發(fā)技術(shù)功能、優(yōu)化技術(shù)TCO，為人員和流程改進(jìn)節(jié)省預(yù)算。

4、影響力轉(zhuǎn)型

戰(zhàn)術(shù)性方法： 建立與項(xiàng)目所有者協(xié)作的流程，以便采取行動(dòng)、就威脅的生命周期對(duì)團(tuán)隊(duì)進(jìn)行培訓(xùn)和教育、確保SOC與漏洞管理團(tuán)隊(duì)保持緊密聯(lián)系。

戰(zhàn)略性方法： 自動(dòng)化反饋機(jī)制、引入DevOps架構(gòu)、通過(guò)警報(bào)自動(dòng)還原漏洞事件。

轉(zhuǎn)型性方法：自動(dòng)執(zhí)行響應(yīng)操作以最大限度地減少對(duì)SOC的警報(bào)、聯(lián)合SOC與GRC合作伙伴、自動(dòng)執(zhí)行從技術(shù)信息到漏洞團(tuán)隊(duì)的反饋循環(huán)，以修補(bǔ)零日和高優(yōu)先級(jí)威脅向量。

結(jié)語(yǔ)

數(shù)字化轉(zhuǎn)型是當(dāng)下企業(yè)面臨的重要課題。在數(shù)字化轉(zhuǎn)型過(guò)程中，每個(gè)企業(yè)都無(wú)法回避來(lái)自網(wǎng)絡(luò)攻擊的困擾。在這個(gè)過(guò)程中，SOC已經(jīng)到了變革的轉(zhuǎn)折點(diǎn)。而這份Google發(fā)布《自動(dòng)化安全運(yùn)營(yíng)中心SOC建設(shè)指南》可提供相應(yīng)的指導(dǎo)和參考。

當(dāng)然，對(duì)于SOC的轉(zhuǎn)型建設(shè)也并非一朝一夕就可完成，但是企業(yè)安全團(tuán)隊(duì)和負(fù)責(zé)人應(yīng)該積極思考一個(gè)問(wèn)題：我們?cè)撊绾瓮苿?dòng)組織變革，以實(shí)現(xiàn)自動(dòng)化安全運(yùn)營(yíng)的目標(biāo)，不斷提升檢測(cè)和響應(yīng)數(shù)字威脅的能力，保護(hù)企業(yè)數(shù)字原生資產(chǎn)不受侵害。