内容摘要：随着云计算、大数据、人工智能等新技术的融发发展和应用，数字化转型已经成为全球既定的发展方向，企业上云也因此成为必选项。然而，数字化转型既给企业带来了更加创新和高效的模式，也将企业信息安全的管理难度推向

随着云计算 、发布大数据  、南对人工智能等新技术的提出融发发展和应用，数字化转型已经成为全球既定的新思发展方向，企业上云也因此成为必选项 。发布然而 ，南对数字化转型既给企业带来了更加创新和高效的提出模式 ，也将企业信息安全的新思管理难度推向了新的高度 。

当越来越多的发布资产走向云端并成为攻击者的目标 ，传统安全运营模式已经无法跟上节奏 。云计算南对安全运营团队需要一个全新的提出运营模式
，以便在数字原生世界保护企业业务的新思发展 ，也是发布数字化时代预防、检测与应对安全威胁必不可少的南对举措
。

安全运营离不开自动化安全运营中心（SOC），提出对于安全运营的变革自然也绕不过SOC，与数字化转型类似,SOC自动化转型涉及思维文化 、领导层的投资以及人员效率等多个层面 。

为了深入研究
 ，Google发布《自动化安全运营中心SOC建设指南》
，高防服务器从SOC转型的意义、自动化安全运营的定义
，以及实现自动化安全运营的具体方法三个维度探讨未来自动化SOC的建设方向。

SOC是安全运营的核心点

早期的SOC被业界认为最适合为用户提供威胁检测和应急响应能力
。因为它不仅涉及安全事件的收集、归并和关联分析
，同时还提供对各种安全设备的配置及策略管理，服务器租用提供安全设备之间的联动能力 ，可以满足安全运营持续维护和优化的目标。

随着网络安全的不断发展，各类攻击方法和工具也在不断发生变化 ，SOC所承担的目标也在不断增加，逐渐成为安全运营的核心点之一 。近年来，我国陆续出台了多部网络安全法律法规 、企业合规需求越发清晰 ，SOC也开始逐步承担合规监控的目标。源码下载

就目前来看，SOC的核心功能主要包括威胁检测、响应 、基于上下文安全事件的反馈 ，以及因具体企业/行业而异的其他辅助性功能，可大大减少人力在高重复 、低效率任务中的消耗 。

例如
，SOC能够对各种多源异构数据源产生的信息进行收集、过滤、格式化 、建站模板 归并 、存储，并提供了诸如模式匹配、 风险分析、异常检测等能力，使用户对整个网络的运行状态进行实时监控和管理，对各种资产(主机、服务器 、IDS 、IPS、WAF等)进行脆弱性评估，对各种安全事件进行分析 、统计和关联，并及时发布预警
，提供快速响应能力 。免费模板

我们会发现 ，SOC虽然一直在不断成长和发展 ，但是其本质作用却没有发生变化
，依旧是以自动化的方式辅助安全人员更快 、更准的找到威胁 ，做好检测和响应。未来，随着网络攻击趋于自动化和复杂化 ，网络安全将更加依赖自动化，SOC所能展现的价值也将会更加明显
。

SOC转型的意义

正如上文所说 ，目前SOC的本质作用并没有发生变化，但是其外部环境已经有了很大的不同 。SOC建设再一次来了十字路口 ，此时企业需要思考一个新的问题 ：未来10年
，我们究竟该如何建设SOC？

1、业务转型

随着云计算的出现，现代计算架构变得更加复杂。通过规模经济 ，云提供商推动企业进行数字化转型的成本高于前云时代 。但是，随着企业数字化转型的加速进行，越来越多的产品 、业务和服务正在大规模转至云上。

与此同时，威胁者和攻击者也将目标瞄准了数字原生，大规模破坏 、纯粹财务收益 、黑客行动主义、竞争情报和知识产权或地缘政治动机成为攻击者的目标和驱动力。

这些导致在数字原生时代
，SOC所面临的威胁检测范围和复杂性呈现出指数级增长的趋势 ，也进一步增大了企业SOC的管理难度。

2、攻击面扩大

后疫情时代，疫情防控措施日渐严格，企业远程办公、学校远程授课的需求进一步增加，并向常态化转变
，各类主体对互联网的依赖呈指数级增长  ，以网络为中心的安全模型被以身份为中心的访问模型所替代。

威胁建模仍然存在，且比以往任何时候都重要。虽然 DevOps 团队构建、部署和管理这个新的基础设施栈
，但 SOC 通常不具备云技术栈如何工作的内在知识
，且没有多少时间在云中增加和建立深度
。

此外，网络安全风险进一步增加且正在扩展到传统的SOC的范围之外 ，适用于欺诈、身份盗窃和传统上由其他团队处理的威胁。传统方法无法检测到高度持续的新型安全威胁
，需要依靠强大的威胁引擎与可靠的威胁情报。

3、人才稀缺

网络安全行业人才缺口正在持续扩大 ，企业对于安全人才的需求日益增长。由于网络安全是一个具有挑战的行业，导致人才稀缺的问题无法单纯依靠雇佣更多的人来解决，劳动率的效率及技术水平更为重要。

例如在安全运营团队中，SOC所需要的人才种类是多样的 ，其中包括分析师、统计专家、数据科学家、事件响应者 、安全工程师等，未来随着SOC的转变，所需要的角色种类还将进一步增加
。

更重要的是，安全团队是成本中心，而不是创收团队，出于成本衡量 ，企业会有目的压制安全团队规模
，因此想要大量增加安全人员几乎不可能 。再加上网络安全工作无法具体量化，其蕴含的风险在没有爆发之前无法体现出价值 ，这也导致在没有巨大的合规压力和事件驱动的前提下 ，企业更倾向维持现状 ，而不是继续加大对安全团队的投资。

人才稀缺自然也导致SOC团队面临着巨大的压力 ，也就意味着他们没有多少时间来提升自己，反过来进一步扩大了人才的缺口。

4、为何未来SOC需要转型

随着新产业、新技术的不断出现，新的计算设施栈和新的数据源也在不断出现。预计到2025年 ，全球 50% 的数据将会被存储在云上，其中包含了当前SOC模型无法主动检测和响应的数据。而新的计算实施栈也让攻击者发掘了更多新的攻击方法。

另一方面，企业供应链继续增长并变得更加复杂，全球软件供应链风险正在直线上升 ，各类开源技术和库中潜藏的风险将成为企业开发的定时炸弹
。

因此，未来SOC将要满足适应指数级增长的数据 、高度持续和不断扩大的攻击 、与无止尽的人才流失等问题。很明显，当下的SOC模型无法胜任这一工作，我们需要一个新的模型 ，让SOC 摆脱僵化
、孤岛和运营中心的现状，以自动化安全运营来应对无限变化的未来 。

自动化安全运营的定义

自动化安全运营是理念  、实践和工具的组合 ，可通过适应性、敏捷和高度自动化的威胁管理方法提高组织抵御安全挑战的能力。我们可以从以下4个维度进行指数级改进：10倍的人力 、10倍的技术成熟度 、10倍流程效率、10倍影响因素建设
。

1
、10倍人力

注意
，10倍人力是指人员工作效率提升10倍，而非人员增加10倍，在安全人才匮乏的今天，想要增加10倍人员显然不现实 。

具体改进方法 ：提升10倍分析师效率
、10倍威胁资产覆盖率以及10倍资源共享能力
。

2  、10倍流程效率

鉴于威胁形势不断变化，攻击面不断演变，以及越来越的安全告警 
，安全团队需要开发一种自适应方法来优化新的和现有的流程
。在这个过程中，自动化将发挥极大的作用。

改进方法：进一步优化SOC流程的关键步骤，提升检测工具快速响应查询效率，显着加快响应时间
，通过规则、算法和机器模型的形式创建检测逻辑；进一步减少SOC内部，SOC与其他组织之间的工作量和流程摩擦。

3、10倍技术成熟度

SOC庞大的工具数量以及各产品之间缺乏联动严重降低了SOC的效率，即使具有高度差异化的能力和非常不同的意图，技术也需要推动更统一的方法。只有技术开始对其集成有更多的语义意识 ，SOC工作流程才能真正得到优化。

改进方法：10倍可感知能力 、10倍响应速度
 、10倍的情报量、降低10倍TCO。

4、10倍影响力建设

建立一个极具影响力的安全运营专家团队将成为变革性 SOC 中最有价值的元素之一。同时还需要一个完善的漏洞管理计划，以自动化的方式完成漏洞发现 、评估和修复的工作 。SOC还需要和其他关键团队保持紧密联系 ，遵循同理心的方法定制解决方案，大规模适应开发人员需求，最大限度减少告警数量。

实现自动化安全的运营的具体方法

将SOC 从纯人工运营转变为自动化安全运营是一个长期的过程，实现自动化安全运营需要将理念、实践与工具相结合
，单一指标的改进无法从本质上改变SOC形态，系统性的转型主要依赖人员、技术、流程与影响力四个维度。

1 、人员转型

战术性方法：培养分析人员开发与检测的方法、雇用合作伙伴来增强团队建设、为员工提供培训及获取相应资质证书的机会 、尽可能保证员工工作-生活相平衡以提升员工工作积极性。

战略性方法：灵活轮换工程师与分析师
、提供全面的入职培训和技能发展计划  、提供拓展机会 、职业定位和领导力培训、改进招聘计划 ，以培养有技能的人才与有技能的员工。

转型性方法 ：联合工作人员实现跨组织范围的风险协同运作 、完善人才的持续发展建设，建设可持续的晋升渠道、提升员工参与度 ，让员工参与会谈、演讲、会议等项目。

2 、流程转型

战术性方法 ：改进告警分类 、融入威胁情报 、优化检测工程 。

战略性方法：对威胁告警进行定期分诊 
、改进威胁情报、利用上下文关联优化检测工程  、自动化警报分类流程。

转型性方法 
：将威胁狩猎与探测工程相融合、创建威胁情报 、采用SRE方法来自动化SOC中的工作流 。

3 、技术转型

战术性方法  ：提升SIEM使用率、将基于云的可见性纳入检测与相应的使用情形中、利用上下文丰富产品信号 。

战略性方法
：在SIEM中融入NDR
、EDR、融入SOAR能力
、覆盖云环境、匹配Mitre与技术信号和检测内容
 。

转型性方法 
：实现传感器高度自动化融合、 构建机器学习/人工智能以更高阶地检测数据、尽可能与供应商/合作伙伴共同开发技术功能、优化技术TCO，为人员和流程改进节省预算。

4、影响力转型

战术性方法：建立与项目所有者协作的流程，以便采取行动、就威胁的生命周期对团队进行培训和教育、确保SOC与漏洞管理团队保持紧密联系。

战略性方法： 自动化反馈机制 、引入DevOps架构、通过警报自动还原漏洞事件。

转型性方法：自动执行响应操作以最大限度地减少对SOC的警报、联合SOC与GRC合作伙伴、自动执行从技术信息到漏洞团队的反馈循环 ，以修补零日和高优先级威胁向量。

结语

数字化转型是当下企业面临的重要课题。在数字化转型过程中，每个企业都无法回避来自网络攻击的困扰。在这个过程中 ，SOC已经到了变革的转折点 。而这份Google发布《自动化安全运营中心SOC建设指南》可提供相应的指导和参考 。

当然，对于SOC的转型建设也并非一朝一夕就可完成 ，但是企业安全团队和负责人应该积极思考一个问题：我们该如何推动组织变革，以实现自动化安全运营的目标，不断提升检测和响应数字威胁的能力 ，保护企业数字原生资产不受侵害。