安全运营中心需要提升的核心能力

根据NIST Cybersecurity Framework，网络安全工作可以分为识别、防御、检测、响应、恢复五个大的阶段，安全建设在识别、防御、恢复三个阶段成熟度已经比较高了，相比之下检测、响应是当前安全能力短板。

在检测方面，目前多是以单点检测为主，检测的误报率较高，有效的告警信息被淹没在海量的无效告警中；同时，传统单点检测设备检测能力有限，很难检测未知威胁与潜伏威胁。

在响应方面，目前多是以应急预案为主，与恢复阶段的内容结合的比较紧密，多是事后的恢复类响应，针对实时检测出的威胁事件的针对性响应不足，主动式响应能力不足。

再进一步说，识别、防御、检测、响应、恢复没有通过技术手段真正联动起来。包括安全检测与分析对于实时自动化风险分析贡献不足，以及在响应的过程中也没有与识别与防御能力进行联动。

正因如此，安全运营中心建设智能中枢或者安全大脑，其核心能力主要包括四个，包括1、精准定位已知威胁；2、深度检测未知威胁；3、丰富安全事件场景；4、辅助安全运营决策。

1、精准定位已知威胁：单点安全检测设备能够产生有价值的告警，但往往被低质量的告警所淹没了，所以需要从海量数据中进行精准定位。

2、深度检测未知威胁：单点安全设备检测高级威胁、未知威胁能力有限，同时安全威胁已经扩展到用户行为、业务异常等领域，所以要弥补单点安全设备检测能力短板。

3、丰富安全事件场景：利用事件（Event）、日志（Log）产生告警（Alert），再进一步聚合成安全事件（Incident），以及整合资产、漏洞、威胁等上下文数据，明确攻击链条、事件时间线以及风险等级。

4、辅助安全运营决策：针对安全事件能够清晰的描述发生了什么？为什么发生？未来会不会发生？该如何应对？为进一步的安全响应，以及安全防御措施完善，提供决策指导。

至于现在比较火热的SOAR，Securonix的一张方案图比较直观，可以看出中间环节做好了，才能进行安全响应处置，安全响应处置流程标准化了，才能进行安全编排与自动化响应，SOAR目的是减少人工参与，提高运营效率的手段。

另外，Securonix SOAR的这张图挺有意思的，可以解读出来很多信息，有机会以后再谈。