之前的一點(diǎn)感悟，趁周末寫下來(lái)留一個(gè)備忘，很零碎不成體系。

這兩年SOC似乎成為一個(gè)很有黑暗系色彩的詞語(yǔ)，很多時(shí)候安全運(yùn)營(yíng)人員不愿意提到這個(gè)詞。因?yàn)樗麄冇H身的項(xiàng)目體驗(yàn)，或者是同行間的經(jīng)驗(yàn)交流，似乎都告訴他一個(gè)結(jié)論，SOC——至少是曾經(jīng)的SOC產(chǎn)品在安全運(yùn)營(yíng)中起到的作用似乎并不大，甚至有人直白的說(shuō)“SOC無(wú)用”。SOC真的沒(méi)有用處嗎？

企業(yè)到了一定的規(guī)模，安全運(yùn)營(yíng)中心的問(wèn)題就會(huì)擺在企業(yè)安全決策者面前，無(wú)論最終是否實(shí)施SOC項(xiàng)目，企業(yè)都會(huì)進(jìn)行相應(yīng)的建設(shè)，這是復(fù)雜IT資產(chǎn)管理的需要，是提升安全運(yùn)營(yíng)效率的需要，也是從被動(dòng)安全向自適應(yīng)安全轉(zhuǎn)換的需要；特別是當(dāng)前安全問(wèn)題被視為一種數(shù)據(jù)分析問(wèn)題的時(shí)候，SOC 更為重要。如果真要認(rèn)為SOC 無(wú)用，也只是某些產(chǎn)品在如何幫助企業(yè)做好安全運(yùn)營(yíng)及安全分析上做得還不夠好。所以可以將前面那句“SOC無(wú)用”轉(zhuǎn)化一個(gè)說(shuō)法—市場(chǎng)上好用的SOC還是太少了。

日常安全運(yùn)營(yíng)

企業(yè)建立安全運(yùn)營(yíng)中心，本來(lái)就不是一個(gè)單純產(chǎn)品或工具的問(wèn)題，還涉及到人員能力和業(yè)務(wù)流程的建設(shè)，這兩部分對(duì)于SOC項(xiàng)目的成功同樣至關(guān)重要。因此對(duì)于項(xiàng)目實(shí)施來(lái)說(shuō)，業(yè)務(wù)咨詢和調(diào)研是其中非常重要的部分、不容回避，越是想交付一個(gè)標(biāo)準(zhǔn)的產(chǎn)品而回避這方面的問(wèn)題，往往到后來(lái)會(huì)自食其果。而另一方面就涉及到SOC產(chǎn)品自身，是否能夠利用SOC產(chǎn)品良好的設(shè)計(jì)來(lái)減少對(duì)人員水平的要求，以及將通用的流程通過(guò)產(chǎn)品使用邏輯體現(xiàn)出來(lái)、以降低實(shí)施的難度和成本。

因此一個(gè)好的SOC必然是嵌入了大量的安全運(yùn)營(yíng)用例知識(shí)的系統(tǒng)，從日常安全運(yùn)營(yíng)的角度看，這些知識(shí)包括2個(gè)層面：

1. 日常安全運(yùn)維應(yīng)該關(guān)注哪些方面？漏洞是最基本的內(nèi)容，但從最佳實(shí)踐中看還有一些需要考慮：未授權(quán)設(shè)備和資產(chǎn)監(jiān)控、授權(quán)軟件清單、系統(tǒng)配置核查、最小化服務(wù)訪問(wèn)端口、安全產(chǎn)品的引擎和簽名升級(jí)、管理員特權(quán)控制、系統(tǒng)的服務(wù)和性能監(jiān)控等等；
2. 關(guān)注面的具體核查點(diǎn)：譬如漏洞管理大家都知道需要做，但具體需要哪些運(yùn)營(yíng)動(dòng)作、通過(guò)哪些數(shù)據(jù)點(diǎn)的統(tǒng)計(jì)監(jiān)控，來(lái)確認(rèn)漏洞管理方面的運(yùn)營(yíng)狀態(tài)是合理合格的，好的產(chǎn)品往往會(huì)通過(guò)預(yù)定義的儀表盤來(lái)提供這方面的展示。另一個(gè)典型的例子就是不同法規(guī)的合規(guī)性要求檢查項(xiàng)，通過(guò)自動(dòng)生成相應(yīng)的統(tǒng)一報(bào)告讓人來(lái)方便的進(jìn)行核查。

從這個(gè)角度上，SOC是一個(gè)知識(shí)系統(tǒng)，但這個(gè)知識(shí)系統(tǒng)不是簡(jiǎn)單的將一些攻防知識(shí)錄入系統(tǒng)形成的，而是通過(guò)系統(tǒng)的每一個(gè)儀表盤、每一個(gè)預(yù)定義關(guān)聯(lián)規(guī)則、每一個(gè)頁(yè)面的操作邏輯組成的。

威脅管理

SOC曾經(jīng)被認(rèn)為最重要的功能是威脅管理，這應(yīng)該是一個(gè)美麗的誤解。很多時(shí)候人們提到關(guān)聯(lián)分析引擎就直接認(rèn)為發(fā)現(xiàn)威脅或歸并報(bào)警是其唯一的價(jià)值，而實(shí)際上在上一代SOC中起到的最大作用是提取運(yùn)營(yíng)活動(dòng)中需要關(guān)注的異常（往往和攻擊事件無(wú)關(guān)）。而威脅管理相關(guān)的內(nèi)容，考慮到之前的SOC往往只是接收?qǐng)?bào)警而缺乏具體的流量和主機(jī)行為日志，這個(gè)領(lǐng)域?qū)τ谒鼇?lái)說(shuō)是不可能很好完成的任務(wù)。這更多的是大數(shù)據(jù)安全分析的范疇，或者說(shuō)現(xiàn)今正在發(fā)展中的新一代SOC的任務(wù)。如果說(shuō)優(yōu)秀的上一代SOC幫助企業(yè)完成架構(gòu)安全和被動(dòng)防御方面的安全任務(wù)，那么新一代SOC 就需要完成主動(dòng)防御（或者說(shuō)自適應(yīng)安全）方面的安全運(yùn)營(yíng)。從這個(gè)角度看兩代SOC在企業(yè)中可以同時(shí)存在，而不是替換的關(guān)系。

對(duì)于新一代SOC來(lái)說(shuō)，既然定位在威脅管理為中心，那么威脅情報(bào)和安全狩獵就成為其重中之重。威脅情報(bào)作為發(fā)現(xiàn)確定性、關(guān)鍵性事件的有效工具很多業(yè)內(nèi)人士已有諸多體驗(yàn)，無(wú)需多說(shuō)。而安全狩獵考慮到對(duì)安全人員尚有較高的技術(shù)要求，因此還沒(méi)有被廣泛使用，因此往往會(huì)提到有這個(gè)方面的出路有兩條，一是讓能做的人來(lái)做，即服務(wù)外包，但從國(guó)外的經(jīng)驗(yàn)看，似乎隨著時(shí)間的推移，一些組織不得不回到內(nèi)部來(lái)進(jìn)行安全監(jiān)控，因?yàn)獒鳙C的分析過(guò)程需要比過(guò)去更多的本地應(yīng)用程序及業(yè)務(wù)實(shí)踐方面的知識(shí)，對(duì)于外部服務(wù)人員不適合、也不大可能掌握。其二就是讓日常的狩獵更簡(jiǎn)單，就是UEBA的道理，通過(guò)整合專家能力和人工智能的方式，更自動(dòng)化的發(fā)現(xiàn)通過(guò)簽名或簡(jiǎn)單的異常規(guī)則不能有效監(jiān)控的威脅風(fēng)險(xiǎn)。似乎第二條道路更符合大多數(shù)客戶的需要。