企業對安全運營中心（SOC）的投入真的有用嗎？

新聞 12-25

對企業用戶而言，是否總會感覺，花了錢和時間搞的安全措施沒有達到預期中的效果？這可能是很多企業高層的困擾。不過，至少有一個可能是例外：安全運營中心（SOC）已經在幫助企業減少安全事故和提高運營的成熟度方面做出了切實貢獻。

SOC的確加強了企業的安全能力

根據McAfee實驗室在2016年12月發布的威脅報告可知，雖然各企業的發展階段存在差異，但目前已有84%的商業組織和

91%的企業在採用SOC。

Intel Security（也就是McAfee）在這份報告中的調查對象包括加拿大、德國、英國和美國的近400名安全從業人員。研究發現，雖然攻擊頻率不斷上升、企業收到的安全警報也遠超其自身解決問題的能力，但是絕大多數企業在這個過程中也在不斷增強自身的防禦能力和檢測水平。

SOC的風格多樣，從專門的設備控制到實質工作的安排。但

最常見的SOC，是多功能SOC/NOC（網路操作中心）部署方

式

。所謂的多功能SOC/NOC，實際上是個集中型模型（centralized model），它反映出企業人員配置方面的挑戰，以及安全對IT而言越來越重要的地位。在這種模型下，企業內會有專門的安全人員去持續監控網路事件，網路的可用性，以及安全事件——這既節約了運營成本，又加強了可靠性。

SOC致力於更清楚和深入的去了解攻擊。調查中67%的受訪者稱網路攻擊數量呈增加趨勢，他們認為

這很有可能是因為企業的監測能力變強了，當然也有可能是攻擊數量的確在增加

。僅有7%的受訪者認為過去一年，企業遭受的攻擊數量呈下降趨勢，他們將這歸功於企業採取了有效的預防和更完善的安全流程。

不應僅是單純檢測

這份報告還體現出一件很關鍵的事情：

其實很多公司採用的安全系統或者工具是可以有效的檢測出入侵行為，發起警報的；但企業卻沒能及時響應這些警報，有效解決問題。

在不同類型、規模、位置的企業，都

有平均25%的告警從未被處理。

只有22%的企業足夠幸運，沒有因此造成損失；有53%的企業遭遇少量損失；而25%的企業損失較為嚴重，就是因為沒有及時調查之前的警報。

就是因為存在以上這種安全警報未處理的情況，再加上有經驗的安全人員的缺乏，有64%的企業會尋求安全服務管理供應商（MSSPs）的幫助。這些企業通常會採用企業與這些第三方供應商協同工作的形式。MSSP提供的服務從低到高分為多個等級，最頂級的服務包括7/24的不間斷安全監控，能避免員工因持續工作產生的問題。

也有五分之一的企業會利用專業第三方來完善內部安全，第三方專業服務包括了高級威脅監測、應急響應和威脅捕獲（Threat Hunting）等。企業無論是選擇完善內部還是尋求第三方的外部幫助都要結合自身情況來進行選擇，需要考量員工的能力和技術水平等因素。但一般來說，公司越大，自身解決問題的能力越強，越少依賴於第三方。

調查還發現，威脅捕獲（Threat Hunting）逐漸變成了一個十分有效的機制——這也是最近的一個熱詞，它能在企業被入侵後及時止損。目前有超過65%配備SOC的企業有正式的威脅捕獲團隊。

未來的方向性調整

要從實用的角度去管理一個SOC。完美的預防是不可能實現的，所以企業一般會更強調能否快速檢測出攻擊並實施應急響應。很多企業會利用像SIEM這樣的系統和分析來將威脅數據、信譽源和薄弱環節組織成一個全面的實時環境。

提高對上下文的感知以及可操作情報，能幫助企業有條理地按照一定優先順序來對事件進行響應，結果才能更快的控制和緩和攻擊帶來的威脅。目前

企業經常將對攻擊的監測放在首位，但這只會導致積壓的警報越來越多，企業也沒有那麼多時間去逐一調查。企業更應該投資安全分析，將會幫助企業理解這些數據，通過關聯能力和機器學習來對事件調查進行優先順序排列，同時對風險進行評估。

如前文所述，很多事件告警都沒有被認真對待，但是被調查的企業的確在檢測方面投入了極大成本。所以

絕大多數公司在未來的12到18個月會將數據保護的側重點放在優先順序、風險評估等方面而不是單純的檢測了。