過(guò)去，很多大型企業(yè)部署傳統(tǒng)的安全運(yùn)營(yíng)中心（SOC，Security Operations Center）作為對(duì)他們信息安全態(tài)勢(shì)保持警惕的手段。最流行的模式主要集中在建立大型的指揮中心，在那里派駐大量的分析師協(xié)同工作，對(duì)實(shí)時(shí)安全數(shù)據(jù)進(jìn)行評(píng)估，并進(jìn)行手動(dòng)響應(yīng)。我們Forrester Research將這種模式稱為SOC 1.0。盡管這種模式證明了其有效性，但SOC 1.0存在的日子已經(jīng)屈指可數(shù)了。

在當(dāng)前的經(jīng)濟(jì)條件下，建設(shè)或者維持一個(gè)SOC是一項(xiàng)艱難的預(yù)算提案。事實(shí)上，針對(duì)SOC成本頗具諷刺意味是，這些SOC中心的設(shè)計(jì)初衷是通過(guò)將大量安全工程師和分析師集中到一個(gè)辦公環(huán)境中來(lái)降低處理安全突發(fā)事件的成本。但是時(shí)過(guò)境遷，隨著威脅的演化，新技術(shù)的崛起，出現(xiàn)了更好的建設(shè)SOC的模式，人們不必建立一個(gè)物理的SOC中心就可以完成SOC的各項(xiàng)任務(wù)。Forrester將這種新模式稱作SOC 2.0。

驅(qū)動(dòng)SOC變革的因素是多樣化的，其中包括網(wǎng)絡(luò)運(yùn)營(yíng)中心（NOC，Network Operations Center）的職能轉(zhuǎn)變。傳統(tǒng)的NOC被設(shè)計(jì)用于監(jiān)控網(wǎng)絡(luò)級(jí)別的事件，并針對(duì)企業(yè)網(wǎng)絡(luò)提供第一級(jí)別的工作分流和故障排查。但是，隨著企業(yè)開(kāi)始著手建立更健壯的，基于ITIL的，能夠支撐甚至取代部分安全操作功能的統(tǒng)一運(yùn)營(yíng)中心，這意味著一線和二線安全運(yùn)維操作可以合并在一個(gè)運(yùn)營(yíng)中心中處理。因此，新型網(wǎng)絡(luò)運(yùn)營(yíng)中心的工作人員可以只將最高級(jí)別的事件提升到安全運(yùn)營(yíng)中心去處理。

隨著NOC和SOC的功能持續(xù)演化，F(xiàn)orrester預(yù)計(jì)未來(lái)的企業(yè)運(yùn)營(yíng)中心將逐漸演變成SOC服務(wù)的消費(fèi)者。隨著事件提升并超出了當(dāng)前運(yùn)營(yíng)中心技術(shù)水平，高水平的安全工程師將會(huì)被虛擬地集合在一起，臨時(shí)性地去處理這個(gè)高級(jí)別的安全事件。

這意味著什么？NOC向新型運(yùn)營(yíng)中心的變遷將極有益于安全運(yùn)維工作的開(kāi)展，并將催生出一種未來(lái)的SOC形態(tài)。這種SOC將是虛擬化的——即通過(guò)協(xié)同技術(shù)將必要的基本資源整合到一起，并且不必固定在一個(gè)特定的地點(diǎn)。這種虛擬化的結(jié)果將使得安全運(yùn)營(yíng)中心變成一個(gè)針對(duì)所有IT的服務(wù)提供者，充分利用聚集在這個(gè)新的虛擬SOC（VSOC，Virtual SOC）的人的技能、信息和技術(shù)。這樣一來(lái)，最大的好處是整個(gè)運(yùn)營(yíng)成本的減少：虛擬SOC的運(yùn)營(yíng)意味著安全運(yùn)維工作將變成一項(xiàng)兼職工作。具備最高水平的安全運(yùn)維人員可以被賦予兼職的職責(zé)，僅在必須對(duì)特定突發(fā)事件進(jìn)行響應(yīng)的時(shí)候拉到VSOC中來(lái)。

在SOC 2.0中，那些需要更新主動(dòng)網(wǎng)絡(luò)控制的突發(fā)事件可以提升給這些兼職的VSOC工程師們。他們可以根據(jù)需要改變自己的角色，而不必總是輪班坐在那里盯著一堆監(jiān)控屏看個(gè)沒(méi)完。這種新的模式可以使更多的分散在組織各個(gè)地方的高水平專家聚集在一個(gè)虛擬化的協(xié)作環(huán)境中處理各種安全突發(fā)事件。

通過(guò)增加這個(gè)新的虛擬化元素，SOC 2.0將變得高度依賴那個(gè)在出現(xiàn)危機(jī)或者需要的時(shí)候被通知去處理問(wèn)題的人員，同時(shí)還依賴那些提供突發(fā)事件可視化、并幫助更快進(jìn)行事故處理的工具和技術(shù)。

因此，為了確保成功，在構(gòu)建您的SOC 2.0的時(shí)候必須考慮以下三個(gè)步驟：

1．確定核心人員。虛擬團(tuán)隊(duì)的構(gòu)成與傳統(tǒng)SOC 1.0下所需的工程師大不相同，它需要訓(xùn)練有素的、經(jīng)驗(yàn)豐富的安全和風(fēng)險(xiǎn)專家。這些VSOC運(yùn)維人員必須比NOC工程師更有經(jīng)驗(yàn)，更訓(xùn)練有素；他們必須是具有某些特長(zhǎng)技能的安全專家，例如精通防火墻、VPN，以及IDS/IPS；或者是在特定領(lǐng)域負(fù)責(zé)整體安全策略的安全架構(gòu)師。培訓(xùn)和經(jīng)驗(yàn)尤為重要。同時(shí)，這個(gè)團(tuán)隊(duì)還應(yīng)提供一套有利于留住員工的激勵(lì)機(jī)制，使得VSOC工程師們?cè)诶^續(xù)各自職業(yè)發(fā)展的同時(shí)始終可以并肩戰(zhàn)斗在同一條信息安全的戰(zhàn)壕中。

2．確定核心技術(shù)。安全信息管理（SIM）工具將成為SOC 2.0的核心技術(shù)組件，它可以作為必要的信息庫(kù)提供給VSOC成員一幅安全視圖。尤其重要地是，這些信息管理工具必須直觀、易用。這些工具必須具有一個(gè)Web接口以便于世界各個(gè)角落的瀏覽器都能訪問(wèn)到，因?yàn)閂SOC工程師們?cè)谔幚硗话l(fā)事件的時(shí)候可能分布于世界各處。

其它對(duì)于SOC 2.0很重要的工具還包括網(wǎng)絡(luò)監(jiān)控工具——提供對(duì)網(wǎng)絡(luò)狀態(tài)的深入感知；以及計(jì)算機(jī)取證工具——提供對(duì)超越服務(wù)中心的事故進(jìn)行深度調(diào)查。Forrester正準(zhǔn)備將這這些工具集定義為NAV（Network Analysis and Visibility，網(wǎng)絡(luò)分析與可視）。

3．確定核心的職責(zé)和流程。SOC 2.0的成功，以及傳統(tǒng)SOC向VSOC的轉(zhuǎn)變都有賴于將日常安全任務(wù)轉(zhuǎn)化到運(yùn)營(yíng)中心去的能力。位于運(yùn)營(yíng)中心的指揮中樞必須能夠緩解一線和二線安全突發(fā)事件，并知道何時(shí)升級(jí)到三線突發(fā)事件，轉(zhuǎn)給VSOC。因此，迫切需要確定VSOC相對(duì)于運(yùn)營(yíng)中心的核心職責(zé)，并就如何劃分IT安全管理和IT運(yùn)維之間的職責(zé)達(dá)成一致。

圍繞虛擬SOC的最后一個(gè)建議是：“利用社會(huì)工程”。換句話說(shuō)，組織應(yīng)該通過(guò)使用社會(huì)化網(wǎng)絡(luò)工具擴(kuò)展其VSOC的能力。Forrester設(shè)想了一種未來(lái)的場(chǎng)景——不同公司之間的VSOC功能可以相互連接，從而他們可以分享有關(guān)當(dāng)前安全突發(fā)事態(tài)的相關(guān)信息，并協(xié)助同行緩解攻擊。這些公司將能夠進(jìn)一步受益于提升的態(tài)勢(shì)感知能力、增強(qiáng)的可視度，以及獲得大量的知識(shí)庫(kù)。SOC 2.0的社會(huì)性將使得其具有自由的伸縮性，并進(jìn)一步降低所有參與方的安全運(yùn)營(yíng)成本。