當(dāng)前，企業(yè)IT環(huán)境極其復(fù)雜，云服務(wù)、物聯(lián)網(wǎng)設(shè)備等的廣泛應(yīng)用，使得企業(yè)的網(wǎng)絡(luò)邊界模糊，攻擊面不斷擴(kuò)大。與此同時，網(wǎng)絡(luò)攻擊手段不斷升級，組織正面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅和日益嚴(yán)格的安全監(jiān)管與合規(guī)要求，傳統(tǒng)安全運營已經(jīng)力不從心，推動安全運營向更智能、更主動、更高效的方向發(fā)展。

傳統(tǒng)SOC的挑戰(zhàn)

安全運營管理主要結(jié)合技術(shù)、流程和人員等能力，傳統(tǒng)SOC主要通過人工進(jìn)行技術(shù)處理、手動處理流程或獨立的工單系統(tǒng)、各級分析師人工分析，實現(xiàn)對安全威脅的檢測分析和事件響應(yīng)，滿足組織對安全風(fēng)險管控的要求。然而，日益復(fù)雜和不斷更新的安全威脅對安全運營能力提出更高的要求，傳統(tǒng)SOC無法應(yīng)對。

傳統(tǒng)SOC的挑戰(zhàn)

具體主要的挑戰(zhàn)包括：

1. 人工處理面臨效率低、響應(yīng)慢、工作量大等挑戰(zhàn)

傳統(tǒng)SOC團(tuán)隊在人工處理安全事件時面臨諸多挑戰(zhàn)，嚴(yán)重影響了安全運營的效率和效果。首先，海量數(shù)據(jù)處理存在明顯局限性。傳統(tǒng)SOC依賴安全設(shè)備產(chǎn)生的告警，但這些告警中存在大量誤報，導(dǎo)致安全分析人員疲于奔命，難以從中準(zhǔn)確識別出真正的威脅，從而降低了安全運營的整體效率，無法滿足對真正威脅的快速響應(yīng)需求。其次，人工響應(yīng)速度慢且效率低下。傳統(tǒng)SOC主要依靠人工進(jìn)行安全事件的響應(yīng)，這種方式難以滿足快速響應(yīng)的要求，導(dǎo)致安全事件的影響范圍擴(kuò)大，進(jìn)而造成更大的損失。此外，安全人員數(shù)量不足也是一個突出問題。傳統(tǒng)SOC的安全運營高度依賴安全專家的經(jīng)驗，對人員的技能要求很高，且難以形成統(tǒng)一的標(biāo)準(zhǔn)，這使得安全運營水平參差不齊，難以保證安全運營的整體質(zhì)量。

2.  安全數(shù)據(jù)面臨統(tǒng)計分析的挑戰(zhàn)

傳統(tǒng)SOC在應(yīng)對安全數(shù)據(jù)爆炸式增長時面臨諸多挑戰(zhàn)。首先，數(shù)據(jù)孤島問題嚴(yán)重，不同安全設(shè)備和系統(tǒng)產(chǎn)生的數(shù)據(jù)分散在各個平臺，難以進(jìn)行統(tǒng)一分析和利用。其次，有效數(shù)據(jù)提取困難，安全數(shù)據(jù)中存在大量噪聲和無關(guān)信息，從海量數(shù)據(jù)中提取有價值信息成為一大挑戰(zhàn)。此外，傳統(tǒng)SOC的數(shù)據(jù)處理能力不足，主要依靠人工分析或基于關(guān)系型數(shù)據(jù)庫的SIEM平臺，難以應(yīng)對海量數(shù)據(jù)，導(dǎo)致安全分析效率低下，無法及時發(fā)現(xiàn)威脅。最后，傳統(tǒng)SOC缺乏有效的數(shù)據(jù)關(guān)聯(lián)分析能力，難以從海量數(shù)據(jù)中發(fā)現(xiàn)隱藏的關(guān)聯(lián)關(guān)系和攻擊模式，無法識別復(fù)雜攻擊事件，難以進(jìn)行攻擊溯源。 

3. 面臨網(wǎng)絡(luò)安全威脅復(fù)雜化的挑戰(zhàn)

傳統(tǒng)SOC在應(yīng)對復(fù)雜安全威脅時存在明顯不足。首先，高級威脅檢測能力不足，傳統(tǒng)安全設(shè)備依賴規(guī)則和簽名檢測，難以識別APT攻擊、0day漏洞利用、無文件攻擊等高級威脅，導(dǎo)致組織無法及時發(fā)現(xiàn)這些威脅，容易遭受攻擊，進(jìn)而引發(fā)數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。其次，威脅情報缺乏有效利用，傳統(tǒng)SOC要么無法充分利用威脅情報，要么僅能進(jìn)行簡單的IOC比對，難以深入理解威脅情報背后的脈絡(luò)信息，無法識別復(fù)雜攻擊事件，也無法進(jìn)行攻擊溯源和攻擊者畫像，難以全面了解攻擊者的意圖和攻擊手段，從而無法進(jìn)行有效防御。此外，傳統(tǒng)SOC缺乏針對內(nèi)部威脅的有效檢測手段，主要關(guān)注外部攻擊，而對內(nèi)部威脅（如惡意內(nèi)部人員、被盜用的賬戶等）的檢測能力不足，內(nèi)部威脅往往能夠繞過傳統(tǒng)安全控制措施，造成更大的威脅，導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)破壞等嚴(yán)重后果。最后，攻擊溯源和取證困難，高級攻擊潛伏時間長，攻擊者會采取各種手段掩蓋攻擊痕跡，使得安全事件的溯源和取證變得非常困難。

4. 安全面臨業(yè)務(wù)發(fā)展的挑戰(zhàn)

在業(yè)務(wù)快速迭代的行業(yè)，安全面臨著難以跟上業(yè)務(wù)更新速度的挑戰(zhàn)。同時，隨著組織上云和數(shù)字化轉(zhuǎn)型的推進(jìn)，新的安全挑戰(zhàn)不斷涌現(xiàn)，例如云安全、數(shù)據(jù)安全和隱私保護(hù)等。此外，安全部門常被視為成本中心，其對業(yè)務(wù)的價值貢獻(xiàn)難以體現(xiàn)。

SOC安全運營業(yè)務(wù)的演變

SOC正面臨業(yè)務(wù)范圍的擴(kuò)展和技術(shù)進(jìn)步支撐的能力升級，業(yè)務(wù)需求驅(qū)動了技術(shù)發(fā)展，技術(shù)的進(jìn)步支撐了業(yè)務(wù)擴(kuò)展。

SOC業(yè)務(wù)范圍正在從事件研判分析、響應(yīng)調(diào)查，向全面風(fēng)險管理、運營量化管理等領(lǐng)域延伸。 

SOC的業(yè)務(wù)范圍擴(kuò)展

SOC的能力從單點防御到合規(guī)驅(qū)動，再到實戰(zhàn)驅(qū)動，走向數(shù)據(jù)驅(qū)動、AI賦能的智能化階段。

SOC的能力升級

第一階段：單點防御階段（2007年前）

隨著互聯(lián)網(wǎng)的初步發(fā)展，早期安全威脅主要以病毒、蠕蟲等為主，組織安全防護(hù)意識薄弱，主要依靠部署防火墻、殺毒軟件等單點安全產(chǎn)品進(jìn)行防御，安全運營以事件驅(qū)動、人工分析為主，難以應(yīng)對規(guī)?；?。階段特點：

• 單點防御，事件驅(qū)動：主要依靠單一安全產(chǎn)品（如防火墻、殺毒軟件、IDS）進(jìn)行點狀防御，缺乏整體的安全防護(hù)體系。安全運營主要以監(jiān)控響應(yīng)為主，針對單一安全事件進(jìn)行處置，缺乏對安全事件的關(guān)聯(lián)分析和深入排查。
• 關(guān)注具體威脅：主要關(guān)注惡意軟件（如病毒、蠕蟲）和單點網(wǎng)絡(luò)事件（如端口掃描、DoS攻擊），對攻擊的整體性和關(guān)聯(lián)性關(guān)注不足。

第二階段：合規(guī)驅(qū)動的安全運營（2007—2015年）

隨著網(wǎng)絡(luò)攻擊的復(fù)雜化和規(guī)?；?，以及各國安全法規(guī)和標(biāo)準(zhǔn)的流行，組織開始重視安全合規(guī)性，大量采購和堆疊安全產(chǎn)品，SIEM平臺開始出現(xiàn)，但產(chǎn)品間缺乏聯(lián)動，“噪音”驟增，難以應(yīng)對高級威脅。階段特點：

• 安全產(chǎn)品堆疊：組織開始大量部署各種安全產(chǎn)品，例如防火墻、IDS/IPS、WAF、防病毒軟件、VPN等，但這些產(chǎn)品往往缺乏有效的集成和聯(lián)動，形成“安全孤島”。
• 合規(guī)驅(qū)動：安全建設(shè)的主要驅(qū)動力是滿足各種安全法規(guī)和標(biāo)準(zhǔn)的要求，例如等級保護(hù)制度等。
• “噪音”急劇增加：各種安全設(shè)備產(chǎn)生大量的相關(guān)信息，其中大部分是誤報，安全分析師難以全面識別出真正的威脅，導(dǎo)致告警疲勞。

第三階段：實戰(zhàn)驅(qū)動的安全運營（2015年左右至2022年左右）

APT攻擊、0-day漏洞攻擊等高級威脅悄然來臨，組織安全建設(shè)開始轉(zhuǎn)向?qū)崙?zhàn)驅(qū)動，關(guān)注安全運營的實際效果，SOAR、UEBA等技術(shù)興起，安全運營開始向主動防御轉(zhuǎn)變，但仍然高度依賴安全專家的經(jīng)驗。階段特點：

• 關(guān)注實戰(zhàn)效果：組織開始關(guān)注安全運營的實際效果，而不僅僅是滿足合規(guī)性要求。安全建設(shè)從合規(guī)驅(qū)動轉(zhuǎn)向?qū)崙?zhàn)驅(qū)動；主動防御：組織開始重視主動防御，例如威脅情報、威脅狩獵、欺騙防御等；
• 安全能力的整合：出現(xiàn)XDR等新的安全概念，嘗試整合各個安全產(chǎn)品能力，形成統(tǒng)一的安全防御體系。

第四階段：數(shù)據(jù)驅(qū)動、AI賦能的智能安全運營（2022年至今）

隨著人工智能技術(shù)的快速發(fā)展和安全大數(shù)據(jù)應(yīng)用的成熟，安全運營進(jìn)入高效階段，ISOC通過數(shù)據(jù)驅(qū)動和人工智能賦能，實現(xiàn)威脅檢測、事件分析、響應(yīng)處置、威脅狩獵等階段的智能化和自動化，構(gòu)建人機(jī)協(xié)同、持續(xù)漸進(jìn)的主動防御體系，更好地應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)安全威脅。階段特點：

• 數(shù)據(jù)驅(qū)動：以數(shù)據(jù)為核心，構(gòu)建安全數(shù)據(jù)湖，為安全分析提供全面的數(shù)據(jù)支撐；
• AI賦能：廣泛應(yīng)用AI技術(shù)提升安全運營的智能化水平。AI智能體作為ISOC的“智慧大腦”，協(xié)調(diào)各個安全平臺，提供智能化的決策支持；
• 自動化：實現(xiàn)安全運營流程的自動化；
• 關(guān)注效果和效率：不僅關(guān)注安全防護(hù)的效果，還關(guān)注安全運營的效率和成本；量化管理：建立量化的安全指標(biāo)，對安全運營體系的效果進(jìn)行量化和評估。

ISOC的理念

智能安全運營中心（Intelligentization Security Operations Center，簡稱ISOC）的核心理念是數(shù)據(jù)驅(qū)動和人工智能雙引擎，構(gòu)建人機(jī)協(xié)同、持續(xù)進(jìn)化的主動防御體系，目標(biāo)是運營的自動化、智能化和自適應(yīng)，最終實現(xiàn)安全運營與業(yè)務(wù)目標(biāo)的深度融合。

圖片

ISOC的理念示意圖 

1.ISOC的主要特點

• 更廣泛和深入的數(shù)據(jù)采集能力：ISOC集成更多的數(shù)據(jù)源，除了安全設(shè)備，還包括用戶行為、業(yè)務(wù)數(shù)據(jù)等，可以為事件提供更全面的數(shù)據(jù)；
• 更智能的威脅檢測能力：ISOC應(yīng)用AI技術(shù)，提升威脅檢測的準(zhǔn)確性（減少誤報和漏報），發(fā)現(xiàn)未知威脅；
• 更自動化的事件響應(yīng)：SOAR和AI智能體可以自動執(zhí)行響應(yīng)操作，縮短響應(yīng)時間；
• 更強(qiáng)大的數(shù)據(jù)分析能力：大數(shù)據(jù)分析結(jié)合AI模型，可以對海量數(shù)據(jù)進(jìn)行分析，提供更深入的分析報告；
• 更主動的防御能力：威脅情報應(yīng)用、人工智能預(yù)測、威脅狩獵等能力，實現(xiàn)從事后響應(yīng)到事前防御；
• 更高效的人機(jī)協(xié)同：AI輔助分析決策，安全分析師可以更專注于復(fù)雜威脅研判和調(diào)查；
• 更持續(xù)的優(yōu)化能力：利用AI模型的自學(xué)習(xí)和持續(xù)優(yōu)化能力，可以實現(xiàn)安全運營體系的持續(xù)進(jìn)化。

2.ISOC的主要目標(biāo)

• 提高安全運營效率：利用人工智能驅(qū)動的威脅檢測和智能化響應(yīng)，縮短威脅檢測時間（MTTD）和響應(yīng)時間（MTTR），減少安全分析師的工作負(fù)擔(dān)，提高安全運營的整體效率；
• 降低安全運營成本：通過智能化和自動化，減少對安全專家的依賴，降低人力成本；通過更精準(zhǔn)的威脅檢測和響應(yīng)，減少安全事件造成的損失；
• 增強(qiáng)威脅檢測和響應(yīng)能力：利用AI技術(shù)檢測未知威脅、高級威脅和異常行為，提高威脅檢測的準(zhǔn)確率和覆蓋范圍；利用SOAR平臺和AI智能體實現(xiàn)安全事件的快速響應(yīng)和處置；
• 構(gòu)建主動防御體系：利用威脅情報、人工智能預(yù)測、威脅狩獵等技術(shù)，開展事后響應(yīng)轉(zhuǎn)向事前預(yù)防，實現(xiàn)主動防御；
• 實現(xiàn)數(shù)據(jù)驅(qū)動的安全決策：利用AI技術(shù)對安全數(shù)據(jù)進(jìn)行深度分析，為安全決策提供數(shù)據(jù)支撐，使安全決策更科學(xué)、更準(zhǔn)確；
• 實現(xiàn)安全投資價值最大化：通過更高效的安全運營，減少安全事件造成的損失，提高安全投資的回報率。

ISOC的必要性

ISOC的必要性體現(xiàn)在能夠解決傳統(tǒng)安全運營的痛點，并在提高安全運營效率、降低運營成本的同時，提升應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅的能力，并最終實現(xiàn)業(yè)務(wù)的安全、穩(wěn)定運行。

圖片智能安全運營中心的必要性

具體體現(xiàn)在以下幾個方面：

1.提升安全運營的效率和效果

ISOC能夠?qū)崿F(xiàn)安全運營的自動化、智能化和協(xié)同化，提高安全運營的整體效率和效果?？s短威脅研判時間，降低誤報率，提升安全事件處置效率，減少人工干預(yù)。實現(xiàn)通過量化指標(biāo)體系，實現(xiàn)對安全運營效果的全面評估和持續(xù)改進(jìn)，確保安全投入回報的最大化。

2.應(yīng)對日益復(fù)雜的安全威脅

安全威脅的復(fù)雜性和多樣性不斷提升，高級持續(xù)性威脅（APT）攻擊手段不斷升級，傳統(tǒng)的安全防御手段難以有效應(yīng)對。ISOC能夠整合多源異構(gòu)的安全數(shù)據(jù)，利用大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、人工智能等技術(shù)，實現(xiàn)對安全威脅的全面感知和精準(zhǔn)識別。實現(xiàn)深度融合AI技術(shù)與安全運營，打造智能化安全運營中心，實現(xiàn)降本增效。

3.解決安全運營的痛點

傳統(tǒng)安全運營面臨告警數(shù)量大、誤報率高、安全事件響應(yīng)周期長、安全運營人員專業(yè)能力要求高等問題。ISOC能夠降低誤報率，提高告警準(zhǔn)確性，加快安全事件響應(yīng)速度，減輕安全運營人員工作負(fù)擔(dān)。通過自動化編排，實現(xiàn)由手工模式轉(zhuǎn)為自動化模式，以提高網(wǎng)絡(luò)安全事件處置效率。

4.滿足合規(guī)性要求

隨著網(wǎng)絡(luò)安全法律法規(guī)的日益完善，組織需要滿足各種合規(guī)性要求。ISOC能夠幫助組織梳理安全流程，建立安全制度，滿足等保、GDPR等合規(guī)性要求，確保安全建設(shè)符合合規(guī)標(biāo)準(zhǔn)。

5.實現(xiàn)全方位的安全防護(hù)

傳統(tǒng)安全防護(hù)手段難以覆蓋云安全、數(shù)據(jù)安全、供應(yīng)鏈安全等新興領(lǐng)域。ISOC能夠擴(kuò)展業(yè)務(wù)范圍，將這些新興領(lǐng)域納入安全運營，實現(xiàn)全方位的安全防護(hù)，構(gòu)建更為開放的安全生態(tài)，積極引入全球更多權(quán)威威脅情報源和合作伙伴，構(gòu)建全生態(tài)協(xié)同作戰(zhàn)平臺。