SOC的未来在于威胁情报

      目前，SOC给我的感觉就是投入与产出严重不成正比，投入的资金多、设备多、人员多、时间多，相应的造成功能多、告警多、争议多、运维多，最后用户获取到有意义的内容少、价值少、保障少、积累少。

      我相信，SOC的未来一定是属于威胁情报的，庞大的安全运维中心，甚至是更庞大的IT运维中心也会让位于威胁情报中心，理由如下：

1. 运维难度低，相对于SOC庞大的安全组织管理体系，威胁情报只需要用户将注意力关注在告警上，而不需要为如何产生告警而费尽心思。
2. 运维成本低，相对于随时待命而且庞大的安全运维团队，威胁情报能大幅减少对运维人员的要求，数量可能只需要当前团队的一半甚至更少。
3. 威胁情报能精准地解决某方面的安全问题，例如APT、DDOS，所以用户完全可以按需购买并只关注自己感兴趣的内容，减少了不必要的费用。
4. 威胁情报能够加速与完善企业安全知识的积累，相对目前SOC几乎是推到重建的方式，威胁情报能充分保留上一代系统的精华。
5. 威胁情报能加强企业间的联系，通过威胁情报分享与传播，企业间的威胁情报可以达到最高效的发挥，并且交换得越多的情报越具有高可信度。
6. 安全运维中心能创造更多的价值，通过分析、提炼、总结相关安全经验，每个安全运维中心都能创造出特定领域的威胁情报，在以内容为中心的威胁情报里，每一份威胁情报都价比黄金。
7. 威胁情报涉及多数据挖掘、机器学习、网络安全、自然语言、统计学等多学科知识，并且门槛较低，可以吸引更多的参业人员，并能创造出独特的内容产业链。