企业对安全运营中心（SOC）的投入真的有用吗？-搜狐

　　对企业用户而言，是否总会感觉，花了钱和时间搞的安全措施没有达到预期中的效果？这可能是很多企业高层的困扰。不过，至少有一个可能是例外：安全运营中心（SOC）已经在帮助企业减少安全事故和提高运营的成熟度方面做出了切实贡献。

　　SOC的确加强了企业的安全能力

　　根据McAfee实验室在2016年12月发布的威胁报告可知，虽然各企业的发展阶段存在差异，但目前已有84%的商业组织和91%的企业在采用SOC。Intel Security（也就是McAfee）在这份报告中的调查对象包括加拿大、德国、英国和美国的近400名安全从业人员。研究发现，虽然攻击频率不断上升、企业收到的安全警报也远超其自身解决问题的能力，但是绝大多数企业在这个过程中也在不断增强自身的防御能力和检测水平。

　　SOC的风格多样，从专门的设备控制到实质工作的安排。但最常见的SOC，是多功能SOC/NOC（网络操作中心）部署方式。所谓的多功能SOC/NOC，实际上是个集中型模型（centralized model），它反映出企业人员配置方面的挑战，以及安全对IT而言越来越重要的地位。在这种模型下，企业内会有专门的安全人员去持续监控网络事件，网络的可用性，以及安全事件——这既节约了运营成本，又加强了可靠性。

　　SOC致力于更清楚和深入的去了解攻击。调查中67%的受访者称网络攻击数量呈增加趋势，他们认为这很有可能是因为企业的监测能力变强了，当然也有可能是攻击数量的确在增加。仅有7%的受访者认为过去一年，企业遭受的攻击数量呈下降趋势，他们将这归功于企业采取了有效的预防和更完善的安全流程。

　　不应仅是单纯检测

　　这份报告还体现出一件很关键的事情：其实很多公司采用的安全系统或者工具是可以有效的检测出入侵行为，发起警报的；但企业却没能及时响应这些警报，有效解决问题。在不同类型、规模、位置的企业，都有平均25%的告警从未被处理。

　　只有22%的企业足够幸运，没有因此造成损失；有53%的企业遭遇少量损失；而25%的企业损失较为严重，就是因为没有及时调查之前的警报。

　　就是因为存在以上这种安全警报未处理的情况，再加上有经验的安全人员的缺乏，有64%的企业会寻求安全服务管理供应商（MSSPs）的帮助。这些企业通常会采用企业与这些第三方供应商协同工作的形式。MSSP提供的服务从低到高分为多个等级，最顶级的服务包括7/24的不间断安全监控，能避免员工因持续工作产生的问题。

　　也有五分之一的企业会利用专业第三方来完善内部安全，第三方专业服务包括了高级威胁监测、应急响应和威胁捕获（Threat Hunting）等。企业无论是选择完善内部还是寻求第三方的外部帮助都要结合自身情况来进行选择，需要考量员工的能力和技术水平等因素。但一般来说，公司越大，自身解决问题的能力越强，越少依赖于第三方。

　　调查还发现，威胁捕获（Threat Hunting）逐渐变成了一个十分有效的机制——这也是最近的一个热词，它能在企业被入侵后及时止损。目前有超过65%配备SOC的企业有正式的威胁捕获团队。

　　未来的方向性调整

　　要从实用的角度去管理一个SOC。完美的预防是不可能实现的，所以企业一般会更强调能否快速检测出攻击并实施应急响应。很多企业会利用像SIEM这样的系统和分析来将威胁数据、信誉源和薄弱环节组织成一个全面的实时环境。

　　提高对上下文的感知以及可操作情报，能帮助企业有条理地按照一定优先级来对事件进行响应，结果才能更快的控制和缓和攻击带来的威胁。目前企业经常将对攻击的监测放在首位，但这只会导致积压的警报越来越多，企业也没有那么多时间去逐一调查。企业更应该投资安全分析，将会帮助企业理解这些数据，通过关联能力和机器学习来对事件调查进行优先级排列，同时对风险进行评估。

　　如前文所述，很多事件告警都没有被认真对待，但是被调查的企业的确在检测方面投入了极大成本。所以绝大多数公司在未来的12到18个月会将数据保护的侧重点放在优先级、风险评估等方面而不是单纯的检测了。