安全运营中心（SOC）是一种自动化的高效平台，已被众多企业所采纳作为其安全运营的得力助手。但是，在SOC平台的运营过程中，却难免会遇见一些难题。前几日，ISACA网络研讨会成功举行，会议的重点即安全运营中心的治理。本文将会议整理为问答形式，帮助企业获得SOC运营的提示以及了解SOC平台的趋势。

Q：既然SOC首先是一个团队，那么传统SOC与现代SOC的区别在于哪些功能？

A：区别的功能包括：威胁狩猎、威胁情报、数据分析以及一些别的功能。这些在传统的SOC中都不太常见。具体的可以看这篇论文章《SOC的未来：SOC的运营者——重要的是技能，而不是等级》。

Q：能否实现基于AI/AL的完全自动化，实现“观察—调整—决策—行动”的OODA循环？使SOC可以实现完全自动化的上机日志源、威胁检测规则的创建、PlayBook的创建、响应、自动集成和执行。

A：以目前的现状来看，短时间内，大多数SOC无法实现完全自动化。最麻烦的部分是在自动响应和其他行为的行为链末端。此外，还有一些有高度不确定性的状况仍然需要人工手动处理。最后，一些棘手的遥测源的上线，有时也需要人工迭代和调整配置。

如今，自动化在检测自动化在检测（创建警报）和分流（充实和确认警报）等领域已经变得十分普遍，但在补救和数据上机方面却不尽如人意。我不指望这方面在短时间内会有什么大规模的变化，但随着企业采用更多的公共云，这些领域的自动化自然也会随之增长。

Q：SIEM和SOC之间的区别是什么？

A：SIEM是一种特殊的安全工具，而SOC则是一个团队以及他们使用的相关流程和工具（目前大部分SOC中包含了SIEM）。这就是为什么当我听到 SOC-as-a-service（安全运营即服务）时，总是感到有点奇怪。我个人更喜欢MDR这个词。

Q：如果我们不能把顶级攻击者赶出我们的网络，那公司该如何应对这种风险？

A：在这里，我很难给出规范性的建议，因为这是一个艰巨的挑战，并且属于“随机应变”的领域。遇到这种情况，大多数组织会寻求帮助，来邀请第三方事件响应团队来协助他们调查，最终将攻击者赶出去。

虽然听上去有些悲观，但是我们完全有可能会遇到比自己的团队更强的攻击者（即便你的团队已经很优秀）。在这种情况下，企业不得不寻求帮助。尽管这会产生成本，但却是无法避免的。

Q：你认为需要采取基于风险的方法来设计和管理现代SOC吗？

A：在你的问题里，"基于风险 "的意思较为模糊。目前，大多数正在运行的SOC并不是完全基于合规条例中的固定检查表而建立的。在这种情况下，我遇到的大多数SOC至少在某种程度上是基于风险的。

Q：怎样才能成为一个优秀的SOC？

A：这很难用几句话来概括。不过，我认为一个糟糕的SOC是因为过度关注技术以及过度苛求流程，而一个优秀的SOC则是把运营的人放在首位，然后才是流程以及技术。

Q：你对SOC中使用的AI工具有什么看法？

A：从我还是一个分析师的时候我就开始思考这个问题，到现在已经持续了很多年。随着时间的推移，我也有了自己的立场：唯一的办法是在短期内对AI用于安全领域持怀疑态度，但站在长远角度则持乐观态度。

虽然有很多供应商疯狂地夸大其词，称他们的ML/AI工具如何帮助安全分析师顺利解决问题。然而，正如人工智能在其他领域逐步发展去帮助人类一样，网络安全领域中的AI也需要发展。

今天，你在SOC中最有可能遇到的基于机器学习的工具是某种形式的异常检测，如UEBA工具或NDR。虽然这些工具是有效的，它们产生的警报往往是有用的（就像常规的基于规则的警报）。然而，我非常清楚，今天的SOC中还没有 "cyber AI "的魔力。

Q：你对威胁狩猎人员的技能要求是什么？

A：这个问题很难回答，我在做分析师的时候也曾试图回答这个问题。鉴于伟大的狩猎最终是一门艺术，但上述艺术家也需要成为顶级的技术专家，因此想要定义这个技能组合是非常困难的。不过可以肯定的是，威胁知识、深厚的IT技术知识和创造性思维都必不可少。

Q：一个小公司/创业公司如何权衡人才与工具和成本？

A：这是我在做分析师的时候处理的另一问题。众所周知，小公司将使用更多的第三方服务，即外包服务。有些企业根本就没有SOC，而是靠MSSP或MDR供应商。也有一些用的是混合模式。

当然，这既有好处也有隐患。一个关键的隐患就是：不能认为你给别人钱，他们就能把你的安全做好。

Q：SOC即服务和内部SOC的情况如何？您的建议是否适用于这两种情况？

A：如果你所说的SOC即服务是指利用MSSP或MDR供应商，那么网络研讨会上的一些建议是适用的。MSSP供应商可能遵循更传统的SOC方法，也可能使用这里讨论的现代SOC要素。不过，我遇到的许多MDR提供商都采用现代SOC方法。

来源：medium