當前，企業IT環境極其復雜，云服務、物聯網設備等的廣泛應用，使得企業的網絡邊界模糊，攻擊面不斷擴大。與此同時，網絡攻擊手段不斷升級，組織正面臨著日益嚴峻的網絡安全威脅和日益嚴格的安全監管與合規要求，傳統安全運營已經力不從心，推動安全運營向更智能、更主動、更高效的方向發展。

傳統SOC的挑戰

　　安全運營管理主要結合技術、流程和人員等能力，傳統SOC主要通過人工進行技術處理、手動處理流程或獨立的工單系統、各級分析師人工分析，實現對安全威脅的檢測分析和事件響應，滿足組織對安全風險管控的要求。然而，日益復雜和不斷更新的安全威脅對安全運營能力提出更高的要求，傳統SOC無法應對。

　　具體主要的挑戰包括：

　　1. 人工處理面臨效率低、響應慢、工作量大等挑戰

　　傳統SOC團隊在人工處理安全事件時面臨諸多挑戰，嚴重影響了安全運營的效率和效果。首先，海量數據處理存在明顯局限性。傳統SOC依賴安全設備產生的告警，但這些告警中存在大量誤報，導致安全分析人員疲于奔命，難以從中準確識別出真正的威脅，從而降低了安全運營的整體效率，無法滿足對真正威脅的快速響應需求。其次，人工響應速度慢且效率低下。傳統SOC主要依靠人工進行安全事件的響應，這種方式難以滿足快速響應的要求，導致安全事件的影響范圍擴大，進而造成更大的損失。此外，安全人員數量不足也是一個突出問題。傳統SOC的安全運營高度依賴安全專家的經驗，對人員的技能要求很高，且難以形成統一的標準，這使得安全運營水平參差不齊，難以保證安全運營的整體質量。

　　2.  安全數據面臨統計分析的挑戰

　　傳統SOC在應對安全數據爆炸式增長時面臨諸多挑戰。首先，數據孤島問題嚴重，不同安全設備和系統產生的數據分散在各個平臺，難以進行統一分析和利用。其次，有效數據提取困難，安全數據中存在大量噪聲和無關信息，從海量數據中提取有價值信息成為一大挑戰。此外，傳統SOC的數據處理能力不足，主要依靠人工分析或基于關系型數據庫的SIEM平臺，難以應對海量數據，導致安全分析效率低下，無法及時發現威脅。最后，傳統SOC缺乏有效的數據關聯分析能力，難以從海量數據中發現隱藏的關聯關系和攻擊模式，無法識別復雜攻擊事件，難以進行攻擊溯源。

　　3. 面臨網絡安全威脅復雜化的挑戰

　　傳統SOC在應對復雜安全威脅時存在明顯不足。首先，高級威脅檢測能力不足，傳統安全設備依賴規則和簽名檢測，難以識別APT攻擊、0day漏洞利用、無文件攻擊等高級威脅，導致組織無法及時發現這些威脅，容易遭受攻擊，進而引發數據泄露、系統癱瘓等嚴重后果。其次，威脅情報缺乏有效利用，傳統SOC要么無法充分利用威脅情報，要么僅能進行簡單的IOC比對，難以深入理解威脅情報背后的脈絡信息，無法識別復雜攻擊事件，也無法進行攻擊溯源和攻擊者畫像，難以全面了解攻擊者的意圖和攻擊手段，從而無法進行有效防御。此外，傳統SOC缺乏針對內部威脅的有效檢測手段，主要關注外部攻擊，而對內部威脅(如惡意內部人員、被盜用的賬戶等)的檢測能力不足，內部威脅往往能夠繞過傳統安全控制措施，造成更大的威脅，導致數據泄露、系統破壞等嚴重后果。最后，攻擊溯源和取證困難，高級攻擊潛伏時間長，攻擊者會采取各種手段掩蓋攻擊痕跡，使得安全事件的溯源和取證變得非常困難。

　　4. 安全面臨業務發展的挑戰

　　在業務快速迭代的行業，安全面臨著難以跟上業務更新速度的挑戰。同時，隨著組織上云和數字化轉型的推進，新的安全挑戰不斷涌現，例如云安全、數據安全和隱私保護等。此外，安全部門常被視為成本中心，其對業務的價值貢獻難以體現。

SOC安全運營業務的演變

　　SOC正面臨業務范圍的擴展和技術進步支撐的能力升級，業務需求驅動了技術發展，技術的進步支撐了業務擴展。

　　SOC業務范圍正在從事件研判分析、響應調查，向全面風險管理、運營量化管理等領域延伸。

SOC的業務范圍擴展

 

　　SOC的能力從單點防御到合規驅動，再到實戰驅動，走向數據驅動、AI賦能的智能化階段。

SOC的能力升級

 

　　第一階段：單點防御階段(2007年前)

　　隨著互聯網的初步發展，早期安全威脅主要以病毒、蠕蟲等為主，組織安全防護意識薄弱，主要依靠部署防火墻、殺毒軟件等單點安全產品進行防御，安全運營以事件驅動、人工分析為主，難以應對規模化攻擊。階段特點：

　　單點防御，事件驅動：主要依靠單一安全產品(如防火墻、殺毒軟件、IDS)進行點狀防御，缺乏整體的安全防護體系。安全運營主要以監控響應為主，針對單一安全事件進行處置，缺乏對安全事件的關聯分析和深入排查。

　　關注具體威脅：主要關注惡意軟件(如病毒、蠕蟲)和單點網絡事件(如端口掃描、DoS攻擊)，對攻擊的整體性和關聯性關注不足。

　　第二階段：合規驅動的安全運營(2007—2015年)

　　隨著網絡攻擊的復雜化和規模化，以及各國安全法規和標準的流行，組織開始重視安全合規性，大量采購和堆疊安全產品，SIEM平臺開始出現，但產品間缺乏聯動，“噪音”驟增，難以應對高級威脅。階段特點：

　　安全產品堆疊：組織開始大量部署各種安全產品，例如防火墻、IDS/IPS、WAF、防病毒軟件、VPN等，但這些產品往往缺乏有效的集成和聯動，形成“安全孤島”。

　　合規驅動：安全建設的主要驅動力是滿足各種安全法規和標準的要求，例如等級保護制度等。

　　“噪音”急劇增加：各種安全設備產生大量的相關信息，其中大部分是誤報，安全分析師難以全面識別出真正的威脅，導致告警疲勞。

　　第三階段：實戰驅動的安全運營(2015年左右至2022年左右)

　　APT攻擊、0-day漏洞攻擊等高級威脅悄然來臨，組織安全建設開始轉向實戰驅動，關注安全運營的實際效果，SOAR、UEBA等技術興起，安全運營開始向主動防御轉變，但仍然高度依賴安全專家的經驗。階段特點：

　　關注實戰效果：組織開始關注安全運營的實際效果，而不僅僅是滿足合規性要求。安全建設從合規驅動轉向實戰驅動;主動防御：組織開始重視主動防御，例如威脅情報、威脅狩獵、欺騙防御等;

　　安全能力的整合：出現XDR等新的安全概念，嘗試整合各個安全產品能力，形成統一的安全防御體系。

　　第四階段：數據驅動、AI賦能的智能安全運營(2022年至今)

　　隨著人工智能技術的快速發展和安全大數據應用的成熟，安全運營進入高效階段，ISOC通過數據驅動和人工智能賦能，實現威脅檢測、事件分析、響應處置、威脅狩獵等階段的智能化和自動化，構建人機協同、持續漸進的主動防御體系，更好地應對復雜多變的網絡安全威脅。階段特點：

　　數據驅動：以數據為核心，構建安全數據湖，為安全分析提供全面的數據支撐;

　　AI賦能：廣泛應用AI技術提升安全運營的智能化水平。AI智能體作為ISOC的“智慧大腦”，協調各個安全平臺，提供智能化的決策支持;

　　自動化：實現安全運營流程的自動化;

　　關注效果和效率：不僅關注安全防護的效果，還關注安全運營的效率和成本;量化管理：建立量化的安全指標，對安全運營體系的效果進行量化和評估。

ISOC的理念

　　智能安全運營中心(Intelligentization Security Operations Center，簡稱ISOC)的核心理念是數據驅動和人工智能雙引擎，構建人機協同、持續進化的主動防御體系，目標是運營的自動化、智能化和自適應，最終實現安全運營與業務目標的深度融合。

ISOC的理念示意圖

　　1.ISOC的主要特點

　　更廣泛和深入的數據采集能力：ISOC集成更多的數據源，除了安全設備，還包括用戶行為、業務數據等，可以為事件提供更全面的數據;

　　更智能的威脅檢測能力：ISOC應用AI技術，提升威脅檢測的準確性(減少誤報和漏報)，發現未知威脅;

　　更自動化的事件響應：SOAR和AI智能體可以自動執行響應操作，縮短響應時間;

　　更強大的數據分析能力：大數據分析結合AI模型，可以對海量數據進行分析，提供更深入的分析報告;

　　更主動的防御能力：威脅情報應用、人工智能預測、威脅狩獵等能力，實現從事后響應到事前防御;

　　更高效的人機協同：AI輔助分析決策，安全分析師可以更專注于復雜威脅研判和調查;

　　更持續的優化能力：利用AI模型的自學習和持續優化能力，可以實現安全運營體系的持續進化。

　　2.ISOC的主要目標

　　提高安全運營效率：利用人工智能驅動的威脅檢測和智能化響應，縮短威脅檢測時間(MTTD)和響應時間(MTTR)，減少安全分析師的工作負擔，提高安全運營的整體效率;

　　降低安全運營成本：通過智能化和自動化，減少對安全專家的依賴，降低人力成本;通過更精準的威脅檢測和響應，減少安全事件造成的損失;

　　增強威脅檢測和響應能力：利用AI技術檢測未知威脅、高級威脅和異常行為，提高威脅檢測的準確率和覆蓋范圍;利用SOAR平臺和AI智能體實現安全事件的快速響應和處置;

　　構建主動防御體系：利用威脅情報、人工智能預測、威脅狩獵等技術，開展事后響應轉向事前預防，實現主動防御;

　　實現數據驅動的安全決策：利用AI技術對安全數據進行深度分析，為安全決策提供數據支撐，使安全決策更科學、更準確;

　　實現安全投資價值最大化：通過更高效的安全運營，減少安全事件造成的損失，提高安全投資的回報率。

ISOC的必要性

　　ISOC的必要性體現在能夠解決傳統安全運營的痛點，并在提高安全運營效率、降低運營成本的同時，提升應對日益復雜的網絡安全威脅的能力，并最終實現業務的安全、穩定運行。

圖片智能安全運營中心的必要性

 

　　具體體現在以下幾個方面：

　　1.提升安全運營的效率和效果

　　ISOC能夠實現安全運營的自動化、智能化和協同化，提高安全運營的整體效率和效果。縮短威脅研判時間，降低誤報率，提升安全事件處置效率，減少人工干預。實現通過量化指標體系，實現對安全運營效果的全面評估和持續改進，確保安全投入回報的最大化。

　　2.應對日益復雜的安全威脅

　　安全威脅的復雜性和多樣性不斷提升，高級持續性威脅(APT)攻擊手段不斷升級，傳統的安全防御手段難以有效應對。ISOC能夠整合多源異構的安全數據，利用大數據分析、機器學習、人工智能等技術，實現對安全威脅的全面感知和精準識別。實現深度融合AI技術與安全運營，打造智能化安全運營中心，實現降本增效。

　　3.解決安全運營的痛點

　　傳統安全運營面臨告警數量大、誤報率高、安全事件響應周期長、安全運營人員專業能力要求高等問題。ISOC能夠降低誤報率，提高告警準確性，加快安全事件響應速度，減輕安全運營人員工作負擔。通過自動化編排，實現由手工模式轉為自動化模式，以提高網絡安全事件處置效率。

　　4.滿足合規性要求

　　隨著網絡安全法律法規的日益完善，組織需要滿足各種合規性要求。ISOC能夠幫助組織梳理安全流程，建立安全制度，滿足等保、GDPR等合規性要求，確保安全建設符合合規標準。

　　5.實現全方位的安全防護

　　傳統安全防護手段難以覆蓋云安全、數據安全、供應鏈安全等新興領域。ISOC能夠擴展業務范圍，將這些新興領域納入安全運營，實現全方位的安全防護，構建更為開放的安全生態，積極引入全球更多權威威脅情報源和合作伙伴，構建全生態協同作戰平臺。