當(dāng)前，企業(yè)IT環(huán)境極其復(fù)雜，云服務(wù)、物聯(lián)網(wǎng)設(shè)備等的廣泛應(yīng)用，使得企業(yè)的網(wǎng)絡(luò)邊界模糊，攻擊面不斷擴(kuò)大。與此同時(shí)，網(wǎng)絡(luò)攻擊手段不斷升級(jí)，組織正面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅和日益嚴(yán)格的安全監(jiān)管與合規(guī)要求，傳統(tǒng)安全運(yùn)營(yíng)已經(jīng)力不從心，推動(dòng)安全運(yùn)營(yíng)向更智能、更主動(dòng)、更高效的方向發(fā)展。

傳統(tǒng)SOC的挑戰(zhàn)

　　安全運(yùn)營(yíng)管理主要結(jié)合技術(shù)、流程和人員等能力，傳統(tǒng)SOC主要通過(guò)人工進(jìn)行技術(shù)處理、手動(dòng)處理流程或獨(dú)立的工單系統(tǒng)、各級(jí)分析師人工分析，實(shí)現(xiàn)對(duì)安全威脅的檢測(cè)分析和事件響應(yīng)，滿足組織對(duì)安全風(fēng)險(xiǎn)管控的要求。然而，日益復(fù)雜和不斷更新的安全威脅對(duì)安全運(yùn)營(yíng)能力提出更高的要求，傳統(tǒng)SOC無(wú)法應(yīng)對(duì)。

　　具體主要的挑戰(zhàn)包括：

　　1. 人工處理面臨效率低、響應(yīng)慢、工作量大等挑戰(zhàn)

　　傳統(tǒng)SOC團(tuán)隊(duì)在人工處理安全事件時(shí)面臨諸多挑戰(zhàn)，嚴(yán)重影響了安全運(yùn)營(yíng)的效率和效果。首先，海量數(shù)據(jù)處理存在明顯局限性。傳統(tǒng)SOC依賴安全設(shè)備產(chǎn)生的告警，但這些告警中存在大量誤報(bào)，導(dǎo)致安全分析人員疲于奔命，難以從中準(zhǔn)確識(shí)別出真正的威脅，從而降低了安全運(yùn)營(yíng)的整體效率，無(wú)法滿足對(duì)真正威脅的快速響應(yīng)需求。其次，人工響應(yīng)速度慢且效率低下。傳統(tǒng)SOC主要依靠人工進(jìn)行安全事件的響應(yīng)，這種方式難以滿足快速響應(yīng)的要求，導(dǎo)致安全事件的影響范圍擴(kuò)大，進(jìn)而造成更大的損失。此外，安全人員數(shù)量不足也是一個(gè)突出問(wèn)題。傳統(tǒng)SOC的安全運(yùn)營(yíng)高度依賴安全專家的經(jīng)驗(yàn)，對(duì)人員的技能要求很高，且難以形成統(tǒng)一的標(biāo)準(zhǔn)，這使得安全運(yùn)營(yíng)水平參差不齊，難以保證安全運(yùn)營(yíng)的整體質(zhì)量。

　　2.  安全數(shù)據(jù)面臨統(tǒng)計(jì)分析的挑戰(zhàn)

　　傳統(tǒng)SOC在應(yīng)對(duì)安全數(shù)據(jù)爆炸式增長(zhǎng)時(shí)面臨諸多挑戰(zhàn)。首先，數(shù)據(jù)孤島問(wèn)題嚴(yán)重，不同安全設(shè)備和系統(tǒng)產(chǎn)生的數(shù)據(jù)分散在各個(gè)平臺(tái)，難以進(jìn)行統(tǒng)一分析和利用。其次，有效數(shù)據(jù)提取困難，安全數(shù)據(jù)中存在大量噪聲和無(wú)關(guān)信息，從海量數(shù)據(jù)中提取有價(jià)值信息成為一大挑戰(zhàn)。此外，傳統(tǒng)SOC的數(shù)據(jù)處理能力不足，主要依靠人工分析或基于關(guān)系型數(shù)據(jù)庫(kù)的SIEM平臺(tái)，難以應(yīng)對(duì)海量數(shù)據(jù)，導(dǎo)致安全分析效率低下，無(wú)法及時(shí)發(fā)現(xiàn)威脅。最后，傳統(tǒng)SOC缺乏有效的數(shù)據(jù)關(guān)聯(lián)分析能力，難以從海量數(shù)據(jù)中發(fā)現(xiàn)隱藏的關(guān)聯(lián)關(guān)系和攻擊模式，無(wú)法識(shí)別復(fù)雜攻擊事件，難以進(jìn)行攻擊溯源。

　　3. 面臨網(wǎng)絡(luò)安全威脅復(fù)雜化的挑戰(zhàn)

　　傳統(tǒng)SOC在應(yīng)對(duì)復(fù)雜安全威脅時(shí)存在明顯不足。首先，高級(jí)威脅檢測(cè)能力不足，傳統(tǒng)安全設(shè)備依賴規(guī)則和簽名檢測(cè)，難以識(shí)別APT攻擊、0day漏洞利用、無(wú)文件攻擊等高級(jí)威脅，導(dǎo)致組織無(wú)法及時(shí)發(fā)現(xiàn)這些威脅，容易遭受攻擊，進(jìn)而引發(fā)數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。其次，威脅情報(bào)缺乏有效利用，傳統(tǒng)SOC要么無(wú)法充分利用威脅情報(bào)，要么僅能進(jìn)行簡(jiǎn)單的IOC比對(duì)，難以深入理解威脅情報(bào)背后的脈絡(luò)信息，無(wú)法識(shí)別復(fù)雜攻擊事件，也無(wú)法進(jìn)行攻擊溯源和攻擊者畫像，難以全面了解攻擊者的意圖和攻擊手段，從而無(wú)法進(jìn)行有效防御。此外，傳統(tǒng)SOC缺乏針對(duì)內(nèi)部威脅的有效檢測(cè)手段，主要關(guān)注外部攻擊，而對(duì)內(nèi)部威脅(如惡意內(nèi)部人員、被盜用的賬戶等)的檢測(cè)能力不足，內(nèi)部威脅往往能夠繞過(guò)傳統(tǒng)安全控制措施，造成更大的威脅，導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)破壞等嚴(yán)重后果。最后，攻擊溯源和取證困難，高級(jí)攻擊潛伏時(shí)間長(zhǎng)，攻擊者會(huì)采取各種手段掩蓋攻擊痕跡，使得安全事件的溯源和取證變得非常困難。

　　4. 安全面臨業(yè)務(wù)發(fā)展的挑戰(zhàn)

　　在業(yè)務(wù)快速迭代的行業(yè)，安全面臨著難以跟上業(yè)務(wù)更新速度的挑戰(zhàn)。同時(shí)，隨著組織上云和數(shù)字化轉(zhuǎn)型的推進(jìn)，新的安全挑戰(zhàn)不斷涌現(xiàn)，例如云安全、數(shù)據(jù)安全和隱私保護(hù)等。此外，安全部門常被視為成本中心，其對(duì)業(yè)務(wù)的價(jià)值貢獻(xiàn)難以體現(xiàn)。

SOC安全運(yùn)營(yíng)業(yè)務(wù)的演變

　　SOC正面臨業(yè)務(wù)范圍的擴(kuò)展和技術(shù)進(jìn)步支撐的能力升級(jí)，業(yè)務(wù)需求驅(qū)動(dòng)了技術(shù)發(fā)展，技術(shù)的進(jìn)步支撐了業(yè)務(wù)擴(kuò)展。

　　SOC業(yè)務(wù)范圍正在從事件研判分析、響應(yīng)調(diào)查，向全面風(fēng)險(xiǎn)管理、運(yùn)營(yíng)量化管理等領(lǐng)域延伸。

SOC的業(yè)務(wù)范圍擴(kuò)展

 

　　SOC的能力從單點(diǎn)防御到合規(guī)驅(qū)動(dòng)，再到實(shí)戰(zhàn)驅(qū)動(dòng)，走向數(shù)據(jù)驅(qū)動(dòng)、AI賦能的智能化階段。

SOC的能力升級(jí)

 

　　第一階段：?jiǎn)吸c(diǎn)防御階段(2007年前)

　　隨著互聯(lián)網(wǎng)的初步發(fā)展，早期安全威脅主要以病毒、蠕蟲等為主，組織安全防護(hù)意識(shí)薄弱，主要依靠部署防火墻、殺毒軟件等單點(diǎn)安全產(chǎn)品進(jìn)行防御，安全運(yùn)營(yíng)以事件驅(qū)動(dòng)、人工分析為主，難以應(yīng)對(duì)規(guī)?；簟ｋA段特點(diǎn)：

　　單點(diǎn)防御，事件驅(qū)動(dòng)：主要依靠單一安全產(chǎn)品(如防火墻、殺毒軟件、IDS)進(jìn)行點(diǎn)狀防御，缺乏整體的安全防護(hù)體系。安全運(yùn)營(yíng)主要以監(jiān)控響應(yīng)為主，針對(duì)單一安全事件進(jìn)行處置，缺乏對(duì)安全事件的關(guān)聯(lián)分析和深入排查。

　　關(guān)注具體威脅：主要關(guān)注惡意軟件(如病毒、蠕蟲)和單點(diǎn)網(wǎng)絡(luò)事件(如端口掃描、DoS攻擊)，對(duì)攻擊的整體性和關(guān)聯(lián)性關(guān)注不足。

　　第二階段：合規(guī)驅(qū)動(dòng)的安全運(yùn)營(yíng)(2007—2015年)

　　隨著網(wǎng)絡(luò)攻擊的復(fù)雜化和規(guī)模化，以及各國(guó)安全法規(guī)和標(biāo)準(zhǔn)的流行，組織開始重視安全合規(guī)性，大量采購(gòu)和堆疊安全產(chǎn)品，SIEM平臺(tái)開始出現(xiàn)，但產(chǎn)品間缺乏聯(lián)動(dòng)，“噪音”驟增，難以應(yīng)對(duì)高級(jí)威脅。階段特點(diǎn)：

　　安全產(chǎn)品堆疊：組織開始大量部署各種安全產(chǎn)品，例如防火墻、IDS/IPS、WAF、防病毒軟件、VPN等，但這些產(chǎn)品往往缺乏有效的集成和聯(lián)動(dòng)，形成“安全孤島”。

　　合規(guī)驅(qū)動(dòng)：安全建設(shè)的主要驅(qū)動(dòng)力是滿足各種安全法規(guī)和標(biāo)準(zhǔn)的要求，例如等級(jí)保護(hù)制度等。

　　“噪音”急劇增加：各種安全設(shè)備產(chǎn)生大量的相關(guān)信息，其中大部分是誤報(bào)，安全分析師難以全面識(shí)別出真正的威脅，導(dǎo)致告警疲勞。

　　第三階段：實(shí)戰(zhàn)驅(qū)動(dòng)的安全運(yùn)營(yíng)(2015年左右至2022年左右)

　　APT攻擊、0-day漏洞攻擊等高級(jí)威脅悄然來(lái)臨，組織安全建設(shè)開始轉(zhuǎn)向?qū)崙?zhàn)驅(qū)動(dòng)，關(guān)注安全運(yùn)營(yíng)的實(shí)際效果，SOAR、UEBA等技術(shù)興起，安全運(yùn)營(yíng)開始向主動(dòng)防御轉(zhuǎn)變，但仍然高度依賴安全專家的經(jīng)驗(yàn)。階段特點(diǎn)：

　　關(guān)注實(shí)戰(zhàn)效果：組織開始關(guān)注安全運(yùn)營(yíng)的實(shí)際效果，而不僅僅是滿足合規(guī)性要求。安全建設(shè)從合規(guī)驅(qū)動(dòng)轉(zhuǎn)向?qū)崙?zhàn)驅(qū)動(dòng);主動(dòng)防御：組織開始重視主動(dòng)防御，例如威脅情報(bào)、威脅狩獵、欺騙防御等;

　　安全能力的整合：出現(xiàn)XDR等新的安全概念，嘗試整合各個(gè)安全產(chǎn)品能力，形成統(tǒng)一的安全防御體系。

　　第四階段：數(shù)據(jù)驅(qū)動(dòng)、AI賦能的智能安全運(yùn)營(yíng)(2022年至今)

　　隨著人工智能技術(shù)的快速發(fā)展和安全大數(shù)據(jù)應(yīng)用的成熟，安全運(yùn)營(yíng)進(jìn)入高效階段，ISOC通過(guò)數(shù)據(jù)驅(qū)動(dòng)和人工智能賦能，實(shí)現(xiàn)威脅檢測(cè)、事件分析、響應(yīng)處置、威脅狩獵等階段的智能化和自動(dòng)化，構(gòu)建人機(jī)協(xié)同、持續(xù)漸進(jìn)的主動(dòng)防御體系，更好地應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)安全威脅。階段特點(diǎn)：

　　數(shù)據(jù)驅(qū)動(dòng)：以數(shù)據(jù)為核心，構(gòu)建安全數(shù)據(jù)湖，為安全分析提供全面的數(shù)據(jù)支撐;

　　AI賦能：廣泛應(yīng)用AI技術(shù)提升安全運(yùn)營(yíng)的智能化水平。AI智能體作為ISOC的“智慧大腦”，協(xié)調(diào)各個(gè)安全平臺(tái)，提供智能化的決策支持;

　　自動(dòng)化：實(shí)現(xiàn)安全運(yùn)營(yíng)流程的自動(dòng)化;

　　關(guān)注效果和效率：不僅關(guān)注安全防護(hù)的效果，還關(guān)注安全運(yùn)營(yíng)的效率和成本;量化管理：建立量化的安全指標(biāo)，對(duì)安全運(yùn)營(yíng)體系的效果進(jìn)行量化和評(píng)估。

ISOC的理念

　　智能安全運(yùn)營(yíng)中心(Intelligentization Security Operations Center，簡(jiǎn)稱ISOC)的核心理念是數(shù)據(jù)驅(qū)動(dòng)和人工智能雙引擎，構(gòu)建人機(jī)協(xié)同、持續(xù)進(jìn)化的主動(dòng)防御體系，目標(biāo)是運(yùn)營(yíng)的自動(dòng)化、智能化和自適應(yīng)，最終實(shí)現(xiàn)安全運(yùn)營(yíng)與業(yè)務(wù)目標(biāo)的深度融合。

ISOC的理念示意圖

　　1.ISOC的主要特點(diǎn)

　　更廣泛和深入的數(shù)據(jù)采集能力：ISOC集成更多的數(shù)據(jù)源，除了安全設(shè)備，還包括用戶行為、業(yè)務(wù)數(shù)據(jù)等，可以為事件提供更全面的數(shù)據(jù);

　　更智能的威脅檢測(cè)能力：ISOC應(yīng)用AI技術(shù)，提升威脅檢測(cè)的準(zhǔn)確性(減少誤報(bào)和漏報(bào))，發(fā)現(xiàn)未知威脅;

　　更自動(dòng)化的事件響應(yīng)：SOAR和AI智能體可以自動(dòng)執(zhí)行響應(yīng)操作，縮短響應(yīng)時(shí)間;

　　更強(qiáng)大的數(shù)據(jù)分析能力：大數(shù)據(jù)分析結(jié)合AI模型，可以對(duì)海量數(shù)據(jù)進(jìn)行分析，提供更深入的分析報(bào)告;

　　更主動(dòng)的防御能力：威脅情報(bào)應(yīng)用、人工智能預(yù)測(cè)、威脅狩獵等能力，實(shí)現(xiàn)從事后響應(yīng)到事前防御;

　　更高效的人機(jī)協(xié)同：AI輔助分析決策，安全分析師可以更專注于復(fù)雜威脅研判和調(diào)查;

　　更持續(xù)的優(yōu)化能力：利用AI模型的自學(xué)習(xí)和持續(xù)優(yōu)化能力，可以實(shí)現(xiàn)安全運(yùn)營(yíng)體系的持續(xù)進(jìn)化。

　　2.ISOC的主要目標(biāo)

　　提高安全運(yùn)營(yíng)效率：利用人工智能驅(qū)動(dòng)的威脅檢測(cè)和智能化響應(yīng)，縮短威脅檢測(cè)時(shí)間(MTTD)和響應(yīng)時(shí)間(MTTR)，減少安全分析師的工作負(fù)擔(dān)，提高安全運(yùn)營(yíng)的整體效率;

　　降低安全運(yùn)營(yíng)成本：通過(guò)智能化和自動(dòng)化，減少對(duì)安全專家的依賴，降低人力成本;通過(guò)更精準(zhǔn)的威脅檢測(cè)和響應(yīng)，減少安全事件造成的損失;

　　增強(qiáng)威脅檢測(cè)和響應(yīng)能力：利用AI技術(shù)檢測(cè)未知威脅、高級(jí)威脅和異常行為，提高威脅檢測(cè)的準(zhǔn)確率和覆蓋范圍;利用SOAR平臺(tái)和AI智能體實(shí)現(xiàn)安全事件的快速響應(yīng)和處置;

　　構(gòu)建主動(dòng)防御體系：利用威脅情報(bào)、人工智能預(yù)測(cè)、威脅狩獵等技術(shù)，開展事后響應(yīng)轉(zhuǎn)向事前預(yù)防，實(shí)現(xiàn)主動(dòng)防御;

　　實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的安全決策：利用AI技術(shù)對(duì)安全數(shù)據(jù)進(jìn)行深度分析，為安全決策提供數(shù)據(jù)支撐，使安全決策更科學(xué)、更準(zhǔn)確;

　　實(shí)現(xiàn)安全投資價(jià)值最大化：通過(guò)更高效的安全運(yùn)營(yíng)，減少安全事件造成的損失，提高安全投資的回報(bào)率。

ISOC的必要性

　　ISOC的必要性體現(xiàn)在能夠解決傳統(tǒng)安全運(yùn)營(yíng)的痛點(diǎn)，并在提高安全運(yùn)營(yíng)效率、降低運(yùn)營(yíng)成本的同時(shí)，提升應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅的能力，并最終實(shí)現(xiàn)業(yè)務(wù)的安全、穩(wěn)定運(yùn)行。

圖片智能安全運(yùn)營(yíng)中心的必要性

 

　　具體體現(xiàn)在以下幾個(gè)方面：

　　1.提升安全運(yùn)營(yíng)的效率和效果

　　ISOC能夠?qū)崿F(xiàn)安全運(yùn)營(yíng)的自動(dòng)化、智能化和協(xié)同化，提高安全運(yùn)營(yíng)的整體效率和效果?？s短威脅研判時(shí)間，降低誤報(bào)率，提升安全事件處置效率，減少人工干預(yù)。實(shí)現(xiàn)通過(guò)量化指標(biāo)體系，實(shí)現(xiàn)對(duì)安全運(yùn)營(yíng)效果的全面評(píng)估和持續(xù)改進(jìn)，確保安全投入回報(bào)的最大化。

　　2.應(yīng)對(duì)日益復(fù)雜的安全威脅

　　安全威脅的復(fù)雜性和多樣性不斷提升，高級(jí)持續(xù)性威脅(APT)攻擊手段不斷升級(jí)，傳統(tǒng)的安全防御手段難以有效應(yīng)對(duì)。ISOC能夠整合多源異構(gòu)的安全數(shù)據(jù)，利用大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、人工智能等技術(shù)，實(shí)現(xiàn)對(duì)安全威脅的全面感知和精準(zhǔn)識(shí)別。實(shí)現(xiàn)深度融合AI技術(shù)與安全運(yùn)營(yíng)，打造智能化安全運(yùn)營(yíng)中心，實(shí)現(xiàn)降本增效。

　　3.解決安全運(yùn)營(yíng)的痛點(diǎn)

　　傳統(tǒng)安全運(yùn)營(yíng)面臨告警數(shù)量大、誤報(bào)率高、安全事件響應(yīng)周期長(zhǎng)、安全運(yùn)營(yíng)人員專業(yè)能力要求高等問(wèn)題。ISOC能夠降低誤報(bào)率，提高告警準(zhǔn)確性，加快安全事件響應(yīng)速度，減輕安全運(yùn)營(yíng)人員工作負(fù)擔(dān)。通過(guò)自動(dòng)化編排，實(shí)現(xiàn)由手工模式轉(zhuǎn)為自動(dòng)化模式，以提高網(wǎng)絡(luò)安全事件處置效率。

　　4.滿足合規(guī)性要求

　　隨著網(wǎng)絡(luò)安全法律法規(guī)的日益完善，組織需要滿足各種合規(guī)性要求。ISOC能夠幫助組織梳理安全流程，建立安全制度，滿足等保、GDPR等合規(guī)性要求，確保安全建設(shè)符合合規(guī)標(biāo)準(zhǔn)。

　　5.實(shí)現(xiàn)全方位的安全防護(hù)

　　傳統(tǒng)安全防護(hù)手段難以覆蓋云安全、數(shù)據(jù)安全、供應(yīng)鏈安全等新興領(lǐng)域。ISOC能夠擴(kuò)展業(yè)務(wù)范圍，將這些新興領(lǐng)域納入安全運(yùn)營(yíng)，實(shí)現(xiàn)全方位的安全防護(hù)，構(gòu)建更為開放的安全生態(tài)，積極引入全球更多權(quán)威威脅情報(bào)源和合作伙伴，構(gòu)建全生態(tài)協(xié)同作戰(zhàn)平臺(tái)。