目前,SOC给我的感觉就是投入与产出严重不成正比,投入的资金多、设备多、人员多、时间多,相应的造成功能多、告警多、争议多、运维多,最后用户获取到有意义的内容少、价值少、保障少、积累少。
我相信,SOC的未来一定是属于威胁情报的,庞大的安全运维中心,甚至是更庞大的IT运维中心也会让位于威胁情报中心,理由如下:
- 运维难度低,相对于SOC庞大的安全组织管理体系,威胁情报只需要用户将注意力关注在告警上,而不需要为如何产生告警而费尽心思。
- 运维成本低,相对于随时待命而且庞大的安全运维团队,威胁情报能大幅减少对运维人员的要求,数量可能只需要当前团队的一半甚至更少。
- 威胁情报能精准地解决某方面的安全问题,例如APT、DDOS,所以用户完全可以按需购买并只关注自己感兴趣的内容,减少了不必要的费用。
- 威胁情报能够加速与完善企业安全知识的积累,相对目前SOC几乎是推到重建的方式,威胁情报能充分保留上一代系统的精华。
- 威胁情报能加强企业间的联系,通过威胁情报分享与传播,企业间的威胁情报可以达到最高效的发挥,并且交换得越多的情报越具有高可信度。
- 安全运维中心能创造更多的价值,通过分析、提炼、总结相关安全经验,每个安全运维中心都能创造出特定领域的威胁情报,在以内容为中心的威胁情报里,每一份威胁情报都价比黄金。
- 威胁情报涉及多数据挖掘、机器学习、网络安全、自然语言、统计学等多学科知识,并且门槛较低,可以吸引更多的参业人员,并能创造出独特的内容产业链。