SOC 2.0：通向下一代安全运营中心的三个关键步骤【附简评】

【前言】本文发表在TT安全上。
 

过去，很多大型企业部署传统的安全运营中心（SOC，Security Operations Center）作为对他们信息安全态势保持警惕的手段。最流行的模式主要集中在建立大型的指挥中心，在那里派驻大量的分析师协同工作，对实时安全数据进行评估，并进行手动响应。我们Forrester Research将这种模式称为SOC 1.0。尽管这种模式证明了其有效性，但SOC 1.0存在的日子已经屈指可数了。

　　在当前的经济条件下，建设或者维持一个SOC是一项艰难的预算提案。事实上，针对SOC成本颇具讽刺意味是，这些SOC中心的设计初衷是通过将大量安全工程师和分析师集中到一个办公环境中来降低处理安全突发事件的成本。但是时过境迁，随着威胁的演化，新技术的崛起，出现了更好的建设SOC的模式，人们不必建立一个物理的SOC中心就可以完成SOC的各项任务。Forrester将这种新模式称作SOC 2.0。

　　驱动SOC变革的因素是多样化的，其中包括网络运营中心（NOC，Network Operations Center）的职能转变。传统的NOC被设计用于监控网络级别的事件，并针对企业网络提供第一级别的工作分流和故障排查。但是，随着企业开始着手建立更健壮的，基于ITIL的，能够支撑甚至取代部分安全操作功能的统一运营中心，这意味着一线和二线安全运维操作可以合并在一个运营中心中处理。因此，新型网络运营中心的工作人员可以只将最高级别的事件提升到安全运营中心去处理。

　　随着NOC和SOC的功能持续演化，Forrester预计未来的企业运营中心将逐渐演变成SOC服务的消费者。随着事件提升并超出了当前运营中心技术水平，高水平的安全工程师将会被虚拟地集合在一起，临时性地去处理这个高级别的安全事件。

　　这意味着什么？NOC向新型运营中心的变迁将极有益于安全运维工作的开展，并将催生出一种未来的SOC形态。这种SOC将是虚拟化的——即通过协同技术将必要的基本资源整合到一起，并且不必固定在一个特定的地点。这种虚拟化的结果将使得安全运营中心变成一个针对所有IT的服务提供者，充分利用聚集在这个新的虚拟SOC（VSOC，Virtual SOC）的人的技能、信息和技术。这样一来，最大的好处是整个运营成本的减少：虚拟SOC的运营意味着安全运维工作将变成一项兼职工作。具备最高水平的安全运维人员可以被赋予兼职的职责，仅在必须对特定突发事件进行响应的时候拉到VSOC中来。

　　在SOC 2.0中，那些需要更新主动网络控制的突发事件可以提升给这些兼职的VSOC工程师们。他们可以根据需要改变自己的角色，而不必总是轮班坐在那里盯着一堆监控屏看个没完。这种新的模式可以使更多的分散在组织各个地方的高水平专家聚集在一个虚拟化的协作环境中处理各种安全突发事件。

　　通过增加这个新的虚拟化元素，SOC 2.0将变得高度依赖那个在出现危机或者需要的时候被通知去处理问题的人员，同时还依赖那些提供突发事件可视化、并帮助更快进行事故处理的工具和技术。

　　因此，为了确保成功，在构建您的SOC 2.0的时候必须考虑以下三个步骤：

　　1．确定核心人员。虚拟团队的构成与传统SOC 1.0下所需的工程师大不相同，它需要训练有素的、经验丰富的安全和风险专家。这些VSOC运维人员必须比NOC工程师更有经验，更训练有素；他们必须是具有某些特长技能的安全专家，例如精通防火墙、***，以及IDS/IPS；或者是在特定领域负责整体安全策略的安全架构师。培训和经验尤为重要。同时，这个团队还应提供一套有利于留住员工的激励机制，使得VSOC工程师们在继续各自职业发展的同时始终可以并肩战斗在同一条信息安全的战壕中。

　　2．确定核心技术。安全信息管理（SIM）工具将成为SOC 2.0的核心技术组件，它可以作为必要的信息库提供给VSOC成员一幅安全视图。尤其重要地是，这些信息管理工具必须直观、易用。这些工具必须具有一个 Web接口以便于世界各个角落的浏览器都能访问到，因为VSOC工程师们在处理突发事件的时候可能分布于世界各处。

　　其它对于SOC 2.0很重要的工具还包括网络监控工具——提供对网络状态的深入感知；以及计算机取证工具——提供对超越服务中心的事故进行深度调查。Forrester 正准备将这这些工具集定义为NAV（Network Analysis and Visibility，网络分析与可视）。

　　3．确定核心的职责和流程。SOC 2.0的成功，以及传统SOC向VSOC的转变都有赖于将日常安全任务转化到运营中心去的能力。位于运营中心的指挥中枢必须能够缓解一线和二线安全突发事件，并知道何时升级到三线突发事件，转给VSOC。因此，迫切需要确定VSOC相对于运营中心的核心职责，并就如何划分IT安全管理和IT运维之间的职责达成一致。

　　围绕虚拟SOC的最后一个建议是：“利用社会工程”。换句话说，组织应该通过使用社会化网络工具扩展其VSOC的能力。Forrester设想了一种未来的场景——不同公司之间的VSOC功能可以相互连接，从而他们可以分享有关当前安全突发事态的相关信息，并协助同行缓解***。这些公司将能够进一步受益于提升的态势感知能力、增强的可视度，以及获得大量的知识库。SOC 2.0的社会性将使得其具有自由的伸缩性，并进一步降低所有参与方的安全运营成本。

 

【后记】这个SOC 2.0是Forrester提出来的，与我之前提及的SOC2.0不是一个意思，但都是对未来的SOC/安管平台的发展方向的研究与预测。其中，Forrester的SOC更加属于安全运营中心的经典定义范畴，而我的SOC2.0更多指代的是安全管理平台，偏技术方面。

其实，通过Forrester的SOC 2.0建议考虑的三个方面可以看出来，它依然是强调了PPT（人、流程和技术）三个方面。

本质上说，Forrester认为未来的SOC是一个虚拟化的SOC，是建构在未来的新一代运营中心基础上的。这个新一代的运营中心具有现在的NOC和部分SOC的功能。也就是说，Forrester认为，未来，SOC将会分化为两个部分，一个部分（偏技术）与NOC融合，另一个部分（偏应急响应处理）通过虚拟化独立成为一个运维组织。而这个VSOC可以是自建的，也可以是购买某个MSSP的服务。从这个角度来说，未来MSSP提供的SOC更加可能是一个VSOC。

【参考】透过水晶球一瞥下一代SOC