在当今数字化世界中，现代化的安全运营中心（SOC）战略是一种投入时间、金钱和资源来提升安全成熟度、增强对网络攻击的抵御能力，从而降低公司风险的举措。

　　过去十年里，网络安全领域经历了巨大的扩张。由于数字化转型、移动设备、远程办公，以及IT/OT融合等因素，各个组织所面临的环境正不断发生变化。在这样的背景下，首席信息安全官（Chief information security officers ，CISO）必须制定一个坚固且可靠的SOC战略，以应对不同的安全威胁，保持可扩展性，并降低业务风险。同时，变革是一个持续不断的过程。经济、社会和地缘政治因素将继续推动数字化转型，威胁形势也将随之不断发生变化。

　　现代化的SOC策略具有许多商业优势。其中包括建立消费者信任和品牌忠诚度，保护敏感专有数据的同时促进企业发展，提高投资回报率，避免运营中断，以及保持合规性等。

　　由于新冠疫情的影响，远程办公的潮流在全球范围迅速传播开来。随之而来的还有针对敏感数据的新型风险。许多组织以及员工为了维持工作的正常运转，做出了安全妥协，例如将安全性较弱的家庭网络和个人设备投入到工作使用当中。尽管许多企业已经摒弃了基于边界的保护策略，但不断变化的业务环境却进一步表明了实现零信任原则以及更新安全流程的必要性。另一方面，随着组织开始追求业务运营的改善以及成本的削减，云计算的引入也进一步促进了攻击面的扩张。

　　减轻网络安全分析师的工作复杂度并提高其工作效率是更新安全流程的主要原因。对于大多数SOC团队来说，繁重的工作量增加了有效管理网络风险的压力。该行业的资产流失率是出了名的高，但组织可以采取一些行动来改善分析师的日常体验。例如，自动化、机器学习（ machine learning ，ML）以及类似的工具可以简化操作，同时减少繁琐的重复性工作。而自动化和集成则可以帮助减少误报，提供更高保真度的预警，从而缓解分析师的压力与疲劳。

　　在当今的网络安全环境中，SOC现代化早已变得至关重要。要实现SOC现代化，就要考虑五个关键因素：

　　在网络安全领域，对技术的过分强调是一个持续存在的问题。据相关调查，85%的企业都面临着安全解决方案重复冗余的问题，而这也进一步增加了不必要的维护成本。

　　由于组织范围内缺乏自上而下的战略规划和一致性沟通，不同团队之间出现了目标不一致或优先级冲突的情况，导致了他们在各自的“孤岛”中工作，无法形成一个紧密协作的整体。如今的CISO需要具备一定的商业意识和洞察能力，以便能够与涉及企业安全利益的相关方建立联系，并向企业的高层董事清楚地解释安全方面的风险。关键是要与重要的利益相关者合作，将安全措施与企业的业务目标紧密结合在一起，从而创建一个受到资金等各方面支持的强大安全计划。

　　一旦意识到了业务风险，组织就需要对自身当前的安全状况进行评估，同时识别出所有的潜在漏洞。随后，组织可以制定一个有条理的网络安全路线图来逐步解决业务风险。这个路线图有助于为所需的投资建立一个商业案例，不论是增加人员资源、优化流程还是引入新技术，组织都可以将这些投资与路线图中解决业务风险的步骤联系起来，从而判断它们在提升安全水平和减少风险方面所发挥的价值。

　　“永不信任，始终验证”是零信任安全模型的基石。零信任策略假定任何网络都不可信，采用最小特权访问，预设已经存在安全漏洞，并通过持续授权和监控来做出响应。目前许多组织都在采用零信任安全模型。若要选择该模型，组织就需要制定一个坚实的业务计划，详细说明为什么要转向零信任架构，以及这种转变会带来哪些好处和运营效率方面的优势。同时，为了零信任架构的成功实施，安全领域和信息技术领域的领导之间也需要进行高度的协作。

　　在追求SOC现代化的道路上，许多框架和标准都可以起到导向作用。MITRE ATT&CK框架就是其中之一，该框架专注于记录在实际攻击活动中观察到的各种战术和技术，可以帮助SOC更好地确定在其所在行业或地区中最常见的攻击技术和手法，从而更有针对性地进行安全防御和监控，提高对潜在威胁的识别和响应能力。

　　为了降低风险并在攻击利用或数据泄露发生之前成功处理安全事件，SOC分析师需要具备一系列可靠的流程和规程，并接受必要的事故响应培训。同时，常见事件的操作手册对初级分析师来说也很有帮助，能够确保他们按照必要的步骤来处理事故，使安全事件能够得到成功的解决。

　　安全成果与业务目标保持一致有助于洞察风险状况如何影响组织运营的优先事项。许多安全从业者都很难清楚地阐述或量化具体的安全措施或合规活动是如何对业务产生支持，并最终创造价值的。而现代化的SOC可以帮助简化报告，突出与公司目标相关的关键绩效指标（key performance indicators，KPI）。这样的报告和展示可以更好地同整体业务战略相一致，将安全措施与业务目标紧密结合起来，使组织更能意识到安全工作的价值，从而做出更加明智的决策。

　　尽管已经是陈词滥调了，但网络安全确实是一个涉及人员、流程和技术的挑战。SOC的现代化涉及到对这三个要素的改进，而并非仅仅是增加技术投资。构建具备适当技能组合的高效团队，制定合理的政策和流程，是该过程的关键，与获取新技术同样重要。安全领导者应确保安全计划与业务优先事项保持一致，努力应对不断变化的威胁形势，确保组织安全的同时，还需要更进一步持续地寻找创新方法来增强安全性。