隨著云計算、大數(shù)據(jù)、人工智能等新技術(shù)的融發(fā)發(fā)展和應(yīng)用，數(shù)字化轉(zhuǎn)型已經(jīng)成為全球既定的發(fā)展方向，企業(yè)上云也因此成為必選項。然而，數(shù)字化轉(zhuǎn)型既給企業(yè)帶來了更加創(chuàng)新和高效的模式，也將企業(yè)信息安全的管理難度推向了新的高度。

當(dāng)越來越多的資產(chǎn)走向云端并成為攻擊者的目標(biāo)，傳統(tǒng)安全運(yùn)營模式已經(jīng)無法跟上節(jié)奏。安全運(yùn)營團(tuán)隊需要一個全新的運(yùn)營模式，以便在數(shù)字原生世界保護(hù)企業(yè)業(yè)務(wù)的發(fā)展，也是數(shù)字化時代預(yù)防、檢測與應(yīng)對安全威脅必不可少的舉措。

安全運(yùn)營離不開自動化安全運(yùn)營中心（SOC），對于安全運(yùn)營的變革自然也繞不過SOC，與數(shù)字化轉(zhuǎn)型類似,SOC自動化轉(zhuǎn)型涉及思維文化、領(lǐng)導(dǎo)層的投資以及人員效率等多個層面。

為了深入研究，Google發(fā)布《自動化安全運(yùn)營中心SOC建設(shè)指南》，從SOC轉(zhuǎn)型的意義、自動化安全運(yùn)營的定義，以及實(shí)現(xiàn)自動化安全運(yùn)營的具體方法三個維度探討未來自動化SOC的建設(shè)方向。

SOC是安全運(yùn)營的核心點(diǎn)

早期的SOC被業(yè)界認(rèn)為最適合為用戶提供威脅檢測和應(yīng)急響應(yīng)能力。因?yàn)樗粌H涉及安全事件的收集、歸并和關(guān)聯(lián)分析，同時還提供對各種安全設(shè)備的配置及策略管理，提供安全設(shè)備之間的聯(lián)動能力，可以滿足安全運(yùn)營持續(xù)維護(hù)和優(yōu)化的目標(biāo)。

隨著網(wǎng)絡(luò)安全的不斷發(fā)展，各類攻擊方法和工具也在不斷發(fā)生變化，SOC所承擔(dān)的目標(biāo)也在不斷增加，逐漸成為安全運(yùn)營的核心點(diǎn)之一。近年來，我國陸續(xù)出臺了多部網(wǎng)絡(luò)安全法律法規(guī)、企業(yè)合規(guī)需求越發(fā)清晰，SOC也開始逐步承擔(dān)合規(guī)監(jiān)控的目標(biāo)。

就目前來看，SOC的核心功能主要包括威脅檢測、響應(yīng)、基于上下文安全事件的反饋，以及因具體企業(yè)/行業(yè)而異的其他輔助性功能，可大大減少人力在高重復(fù)、低效率任務(wù)中的消耗。

例如，SOC能夠?qū)Ω鞣N多源異構(gòu)數(shù)據(jù)源產(chǎn)生的信息進(jìn)行收集、過濾、格式化、 歸并、存儲，并提供了諸如模式匹配、 風(fēng)險分析、異常檢測等能力，使用戶對整個網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行實(shí)時監(jiān)控和管理，對各種資產(chǎn)(主機(jī)、服務(wù)器、IDS、IPS、WAF等)進(jìn)行脆弱性評估，對各種安全事件進(jìn)行分析、統(tǒng)計和關(guān)聯(lián)，并及時發(fā)布預(yù)警，提供快速響應(yīng)能力。

我們會發(fā)現(xiàn)，SOC雖然一直在不斷成長和發(fā)展，但是其本質(zhì)作用卻沒有發(fā)生變化，依舊是以自動化的方式輔助安全人員更快、更準(zhǔn)的找到威脅，做好檢測和響應(yīng)。未來，隨著網(wǎng)絡(luò)攻擊趨于自動化和復(fù)雜化，網(wǎng)絡(luò)安全將更加依賴自動化，SOC所能展現(xiàn)的價值也將會更加明顯。

SOC轉(zhuǎn)型的意義

正如上文所說，目前SOC的本質(zhì)作用并沒有發(fā)生變化，但是其外部環(huán)境已經(jīng)有了很大的不同。SOC建設(shè)再一次來了十字路口，此時企業(yè)需要思考一個新的問題：未來10年，我們究竟該如何建設(shè)SOC？

1、業(yè)務(wù)轉(zhuǎn)型

隨著云計算的出現(xiàn)，現(xiàn)代計算架構(gòu)變得更加復(fù)雜。通過規(guī)模經(jīng)濟(jì)，云提供商推動企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的成本高于前云時代。但是，隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速進(jìn)行，越來越多的產(chǎn)品、業(yè)務(wù)和服務(wù)正在大規(guī)模轉(zhuǎn)至云上。

與此同時，威脅者和攻擊者也將目標(biāo)瞄準(zhǔn)了數(shù)字原生，大規(guī)模破壞、純粹財務(wù)收益、黑客行動主義、競爭情報和知識產(chǎn)權(quán)或地緣政治動機(jī)成為攻擊者的目標(biāo)和驅(qū)動力。

這些導(dǎo)致在數(shù)字原生時代，SOC所面臨的威脅檢測范圍和復(fù)雜性呈現(xiàn)出指數(shù)級增長的趨勢，也進(jìn)一步增大了企業(yè)SOC的管理難度。

2、攻擊面擴(kuò)大

后疫情時代，疫情防控措施日漸嚴(yán)格，企業(yè)遠(yuǎn)程辦公、學(xué)校遠(yuǎn)程授課的需求進(jìn)一步增加，并向常態(tài)化轉(zhuǎn)變，各類主體對互聯(lián)網(wǎng)的依賴呈指數(shù)級增長，以網(wǎng)絡(luò)為中心的安全模型被以身份為中心的訪問模型所替代。

威脅建模仍然存在，且比以往任何時候都重要。雖然 DevOps 團(tuán)隊構(gòu)建、部署和管理這個新的基礎(chǔ)設(shè)施棧，但 SOC 通常不具備云技術(shù)棧如何工作的內(nèi)在知識，且沒有多少時間在云中增加和建立深度。

此外，網(wǎng)絡(luò)安全風(fēng)險進(jìn)一步增加且正在擴(kuò)展到傳統(tǒng)的SOC的范圍之外，適用于欺詐、身份盜竊和傳統(tǒng)上由其他團(tuán)隊處理的威脅。傳統(tǒng)方法無法檢測到高度持續(xù)的新型安全威脅，需要依靠強(qiáng)大的威脅引擎與可靠的威脅情報。

3、人才稀缺

網(wǎng)絡(luò)安全行業(yè)人才缺口正在持續(xù)擴(kuò)大，企業(yè)對于安全人才的需求日益增長。由于網(wǎng)絡(luò)安全是一個具有挑戰(zhàn)的行業(yè)，導(dǎo)致人才稀缺的問題無法單純依靠雇傭更多的人來解決，勞動率的效率及技術(shù)水平更為重要。

例如在安全運(yùn)營團(tuán)隊中，SOC所需要的人才種類是多樣的，其中包括分析師、統(tǒng)計專家、數(shù)據(jù)科學(xué)家、事件響應(yīng)者、安全工程師等，未來隨著SOC的轉(zhuǎn)變，所需要的角色種類還將進(jìn)一步增加。

更重要的是，安全團(tuán)隊是成本中心，而不是創(chuàng)收團(tuán)隊，出于成本衡量，企業(yè)會有目的壓制安全團(tuán)隊規(guī)模，因此想要大量增加安全人員幾乎不可能。再加上網(wǎng)絡(luò)安全工作無法具體量化，其蘊(yùn)含的風(fēng)險在沒有爆發(fā)之前無法體現(xiàn)出價值，這也導(dǎo)致在沒有巨大的合規(guī)壓力和事件驅(qū)動的前提下，企業(yè)更傾向維持現(xiàn)狀，而不是繼續(xù)加大對安全團(tuán)隊的投資。

人才稀缺自然也導(dǎo)致SOC團(tuán)隊面臨著巨大的壓力，也就意味著他們沒有多少時間來提升自己，反過來進(jìn)一步擴(kuò)大了人才的缺口。

4、為何未來SOC需要轉(zhuǎn)型

隨著新產(chǎn)業(yè)、新技術(shù)的不斷出現(xiàn)，新的計算設(shè)施棧和新的數(shù)據(jù)源也在不斷出現(xiàn)。預(yù)計到2025年，全球 50% 的數(shù)據(jù)將會被存儲在云上，其中包含了當(dāng)前SOC模型無法主動檢測和響應(yīng)的數(shù)據(jù)。而新的計算實(shí)施棧也讓攻擊者發(fā)掘了更多新的攻擊方法。

另一方面，企業(yè)供應(yīng)鏈繼續(xù)增長并變得更加復(fù)雜，全球軟件供應(yīng)鏈風(fēng)險正在直線上升，各類開源技術(shù)和庫中潛藏的風(fēng)險將成為企業(yè)開發(fā)的定時炸彈。

因此，未來SOC將要滿足適應(yīng)指數(shù)級增長的數(shù)據(jù)、高度持續(xù)和不斷擴(kuò)大的攻擊、與無止盡的人才流失等問題。很明顯，當(dāng)下的SOC模型無法勝任這一工作，我們需要一個新的模型，讓SOC 擺脫僵化、孤島和運(yùn)營中心的現(xiàn)狀，以自動化安全運(yùn)營來應(yīng)對無限變化的未來。

自動化安全運(yùn)營的定義

自動化安全運(yùn)營是理念、實(shí)踐和工具的組合，可通過適應(yīng)性、敏捷和高度自動化的威脅管理方法提高組織抵御安全挑戰(zhàn)的能力。我們可以從以下4個維度進(jìn)行指數(shù)級改進(jìn)：10倍的人力、10倍的技術(shù)成熟度、10倍流程效率、10倍影響因素建設(shè)。

1、10倍人力

注意，10倍人力是指人員工作效率提升10倍，而非人員增加10倍，在安全人才匱乏的今天，想要增加10倍人員顯然不現(xiàn)實(shí)。

具體改進(jìn)方法：提升10倍分析師效率、10倍威脅資產(chǎn)覆蓋率以及10倍資源共享能力。

2、10倍流程效率

鑒于威脅形勢不斷變化，攻擊面不斷演變，以及越來越的安全告警，安全團(tuán)隊需要開發(fā)一種自適應(yīng)方法來優(yōu)化新的和現(xiàn)有的流程。在這個過程中，自動化將發(fā)揮極大的作用。

改進(jìn)方法：進(jìn)一步優(yōu)化SOC流程的關(guān)鍵步驟，提升檢測工具快速響應(yīng)查詢效率，顯著加快響應(yīng)時間，通過規(guī)則、算法和機(jī)器模型的形式創(chuàng)建檢測邏輯；進(jìn)一步減少SOC內(nèi)部，SOC與其他組織之間的工作量和流程摩擦。

3、10倍技術(shù)成熟度

SOC龐大的工具數(shù)量以及各產(chǎn)品之間缺乏聯(lián)動嚴(yán)重降低了SOC的效率，即使具有高度差異化的能力和非常不同的意圖，技術(shù)也需要推動更統(tǒng)一的方法。只有技術(shù)開始對其集成有更多的語義意識，SOC工作流程才能真正得到優(yōu)化。

改進(jìn)方法：10倍可感知能力、10倍響應(yīng)速度、10倍的情報量、降低10倍TCO。

4、10倍影響力建設(shè)

建立一個極具影響力的安全運(yùn)營專家團(tuán)隊將成為變革性 SOC 中最有價值的元素之一。同時還需要一個完善的漏洞管理計劃，以自動化的方式完成漏洞發(fā)現(xiàn)、評估和修復(fù)的工作。SOC還需要和其他關(guān)鍵團(tuán)隊保持緊密聯(lián)系，遵循同理心的方法定制解決方案，大規(guī)模適應(yīng)開發(fā)人員需求，最大限度減少告警數(shù)量。

實(shí)現(xiàn)自動化安全的運(yùn)營的具體方法

將SOC 從純?nèi)斯み\(yùn)營轉(zhuǎn)變?yōu)樽詣踊踩\(yùn)營是一個長期的過程，實(shí)現(xiàn)自動化安全運(yùn)營需要將理念、實(shí)踐與工具相結(jié)合，單一指標(biāo)的改進(jìn)無法從本質(zhì)上改變SOC形態(tài)，系統(tǒng)性的轉(zhuǎn)型主要依賴人員、技術(shù)、流程與影響力四個維度。

1、人員轉(zhuǎn)型

戰(zhàn)術(shù)性方法：培養(yǎng)分析人員開發(fā)與檢測的方法、雇用合作伙伴來增強(qiáng)團(tuán)隊建設(shè)、為員工提供培訓(xùn)及獲取相應(yīng)資質(zhì)證書的機(jī)會、盡可能保證員工工作-生活相平衡以提升員工工作積極性。

戰(zhàn)略性方法：靈活輪換工程師與分析師、提供全面的入職培訓(xùn)和技能發(fā)展計劃、提供拓展機(jī)會、職業(yè)定位和領(lǐng)導(dǎo)力培訓(xùn)、改進(jìn)招聘計劃，以培養(yǎng)有技能的人才與有技能的員工。

轉(zhuǎn)型性方法：聯(lián)合工作人員實(shí)現(xiàn)跨組織范圍的風(fēng)險協(xié)同運(yùn)作、完善人才的持續(xù)發(fā)展建設(shè)，建設(shè)可持續(xù)的晉升渠道、提升員工參與度，讓員工參與會談、演講、會議等項目。

2、流程轉(zhuǎn)型

戰(zhàn)術(shù)性方法：改進(jìn)告警分類、融入威脅情報、優(yōu)化檢測工程。

戰(zhàn)略性方法：對威脅告警進(jìn)行定期分診、改進(jìn)威脅情報、利用上下文關(guān)聯(lián)優(yōu)化檢測工程、自動化警報分類流程。

轉(zhuǎn)型性方法：將威脅狩獵與探測工程相融合、創(chuàng)建威脅情報、采用SRE方法來自動化SOC中的工作流。

3、技術(shù)轉(zhuǎn)型

戰(zhàn)術(shù)性方法： 提升SIEM使用率、將基于云的可見性納入檢測與相應(yīng)的使用情形中、利用上下文豐富產(chǎn)品信號。

戰(zhàn)略性方法：在SIEM中融入NDR、EDR、融入SOAR能力、覆蓋云環(huán)境、匹配Mitre與技術(shù)信號和檢測內(nèi)容。

轉(zhuǎn)型性方法：實(shí)現(xiàn)傳感器高度自動化融合、 構(gòu)建機(jī)器學(xué)習(xí)/人工智能以更高階地檢測數(shù)據(jù)、盡可能與供應(yīng)商/合作伙伴共同開發(fā)技術(shù)功能、優(yōu)化技術(shù)TCO，為人員和流程改進(jìn)節(jié)省預(yù)算。

4、影響力轉(zhuǎn)型

戰(zhàn)術(shù)性方法： 建立與項目所有者協(xié)作的流程，以便采取行動、就威脅的生命周期對團(tuán)隊進(jìn)行培訓(xùn)和教育、確保SOC與漏洞管理團(tuán)隊保持緊密聯(lián)系。

戰(zhàn)略性方法： 自動化反饋機(jī)制、引入DevOps架構(gòu)、通過警報自動還原漏洞事件。

轉(zhuǎn)型性方法：自動執(zhí)行響應(yīng)操作以最大限度地減少對SOC的警報、聯(lián)合SOC與GRC合作伙伴、自動執(zhí)行從技術(shù)信息到漏洞團(tuán)隊的反饋循環(huán)，以修補(bǔ)零日和高優(yōu)先級威脅向量。

結(jié)語

數(shù)字化轉(zhuǎn)型是當(dāng)下企業(yè)面臨的重要課題。在數(shù)字化轉(zhuǎn)型過程中，每個企業(yè)都無法回避來自網(wǎng)絡(luò)攻擊的困擾。在這個過程中，SOC已經(jīng)到了變革的轉(zhuǎn)折點(diǎn)。而這份Google發(fā)布《自動化安全運(yùn)營中心SOC建設(shè)指南》可提供相應(yīng)的指導(dǎo)和參考。

當(dāng)然，對于SOC的轉(zhuǎn)型建設(shè)也并非一朝一夕就可完成，但是企業(yè)安全團(tuán)隊和負(fù)責(zé)人應(yīng)該積極思考一個問題：我們該如何推動組織變革，以實(shí)現(xiàn)自動化安全運(yùn)營的目標(biāo)，不斷提升檢測和響應(yīng)數(shù)字威脅的能力，保護(hù)企業(yè)數(shù)字原生資產(chǎn)不受侵害。