走进一处安全操作中心(SOC)，您将获得的第一印象便是一个巨大的作战室，在其整个前壁上悬挂着一个超大屏幕，上面显示着一副世界地图和无休止的成排的表格数据。

　　分析师们坐成一排，目不转睛的面对着屏幕，仔细观察着自己所监视的数据流。大多数的光来自屏幕墙，创造一个类似坑洞的气氛。整体感觉是一种安静的效率。

　　欢迎来到德克萨斯州休斯敦Alert Logic公司的24/7全天候安全操作中心。Alert Logic公司的分析师们就是在这里监控客户应用程序和网络，捕捉任何安全攻击或违规迹象的。对于那些预算有限、规模较小、或没有专门的安全团队的企业组织而言，与诸如Alert Logic公司这样的托管安全服务供应商合作，能够有效的帮助他们关闭安全漏洞。

　　“企业客户们现在所考虑的是，’我们有太多有价值的数据，却没有更好的安全功能’。”Alert Logic公司的首席执行官Gray Hall表示说。这是由一种投资于特定的技术，并希望这些特定的技术能够足以防止相关安全违规行为朝着一种更为积极的，目标在于能够在恶意攻击者造成重大损害之前，找到攻击者的方法的转变。

　　这并不是说传统的端点解决方案，比如终端的杀毒软件、防火墙、和IDS/IPS 已经失去了效用。但是病毒捕捉团队——SOC的那些寻找病毒感染或安全违规迹象的工作人员们——则能够帮助企业组织确定和识别袭击者是否已经打破了过去传统的安全措施。在他们的努力下，SOC得以能够为企业用户提供高安全威胁警惕性、专业知识以及先进的安全技术的完美结合。

　　为了保护企业客户的IT基础设施，SoC需要将来自不同来源的数据整合到一个集中的平台，以方便专家们知道如何应对相关的安全事件。

　　分析师们将监视网络异常作为监控服务的一部分，例如当一份文件由一个企业内部的系统传输到一个IP地址，而该IP地址所属的国家是这家企业用户并没有任何业务联系的。在一个真实的企业客户案例的情况中， Alert Logic公司的分析师发现了一台机器，这是一台打印机，该打印机与一个位于俄罗斯的IP地址有了通讯。于是，当分析师们提醒着家企业客户之后，该连接就被立即关闭了。

　　“此次打印机事件是我们所监测到的最典型的一个案例。”Alert Logic公司ActiveWatch服务高级主管杰森·佩恩表示说。

　　在Alert Logic公司，分析师们依靠一款能够从应用程序、事件数据、日志和客户数据中心的设备收集安全事件的平台。该服务还延伸到公共云的工作负载，如运行在AWS的工作负载。如果企业客户已经部署了一款网络应用程序防火墙，分析师也将监控并分析网络交易数据。

　　分析平台将来自其他来源的信息关联起来，弹出他们认为存在安全隐患的数据信息，进行标记，并让分析师进行进一步的调查。警报出现在监控操作间前面的大屏幕上，同时还包括了各种客户信息。分析师有15分钟的时间来分析问题，验证攻击行为是否成功，了解其所产生的影响，并为客户升级。

　　“大屏幕将会有一个倒计时，当该计时接近15分钟时，会改变颜色。”佩恩说。

　　基因组信息学公司GenomeNext依靠Alert Logic公司来帮助他们监控其在Amazon Web服务上的开发和生产环境，并在一旦有意外事件发生时，第一时间立即通知他们。当发生设备脱机离线时，GenomeNext公司将在15分钟内收到警报，告知他们相关的设备需要进行一下检查。在最近的另一个案例中，一名开发人员编了写测试代码，而该代码是绝不会发布到生产环境的——其密码必须以明文形式发送。SOC团队捕获了该测试代码，验证了警报，评估潜在的危害，并向GenomeNext发送了一封邮件描述该问题，以及如何解决。

　　“那是我们在30分钟内写出的代码。”GenomeNext公司的联合创始人兼首席执行官James Hirmas表示说。“这是一个非常短暂的转变。”

　　与客户合作

　　SoC是大型的、复杂的操作。为了进行有效的防御，SOC 的工作人员必须了解每家企业客户的业务，以及为什么做出某些决策，这样他们就可以优先考虑警报，并提出相应的建议。Alert Logic公司会询问企业客户，哪些数据信息对于他们而言是最有价值的，所以该监测团队就知道需要重点监控哪些方面了。毕竟，这是一项团队工作。

　　“如果一家客户打电话进来寻求某方面的帮助，我们将尽力提供力所能及的帮助。”佩恩说。“我们确保我们的分析师必须了解我们绝不会登陆到客户的任何系统。这是我的底线。”

　　Alert Logic公司不提供事件响应能力。相反，除了提供安全威胁警报，他们还为客户提供了完整的记录，包括：相关的安全威胁事件发生在何处、实际执行的有效载荷、以及系统的响应情况。客户可以看到分析师们所能够看到的所有的数据，以及为什么这些数据会被标记，以及相应的整治的建议。例如，在一个SQL注入攻击案例中，分析师将包括实际攻击的字符串和结果输出。如果分析师怀疑有人试图强行破解密码，则事件记录将显示与失败登录尝试相关的IP地址。

　　“我们不只是告知客户发生了安全威胁事件。我们将详细的介绍给他们相应的情况，包括我们最初看到的情况，以及我们是如何、在哪里对于该事件展开调查的;有效载荷是什么;其表明了什么;我们将与企业客户协同工作，确保客户了解发生了什么;以及我们为什么会标记该事件。”佩恩说。

　　分析师负责确保及时同时企业客户团队的相关责任人员，使其完整的了解到底发生了什么情况，并收到具体的处理建议。例如，如果恶意软件是机密数据，分析师可能建议在防火墙阻塞IP地址或关闭远程桌面端口。

　　企业客户基于SOC分析师所收集和提供的信息进行清理和修复处理工作，而Alert Logic公司的SOC将持续进行监测，以确保维修是足够且有效的。“我们会安排特定的人员配合客户们进行修复工作，直到我吗看到相关的安全威胁事件已经停止。在这个过程中，沟通是双向的。”佩恩说。

　　不止是监测

　　包括Alert Logic公司在内的大多数托管安全供应商都有一个活跃的情报智能小组，负责研究最新的安全威胁及分析实际攻击。可疑的安全威胁和其他威胁情报将被反馈到分析平台，然后由SOC将其作为其监测的一部分。情报智能团队可以要求SOC分析师保持对特定类型的安全威胁的重点关注。

　　分析师加载事件、日志和网络数据流，以寻找需要进一步调查的指标。一般而言，SOC团队产生5到15个手动事件，然后发送到智能情报团队，佩恩说。智能情报团队创建签名，并将其添加到分析平台，让类似的事件将自动为其他客户标记。

　　“这是一个不断循环的人工分析、跨不同的客户环境识别威胁、然后将应用信息反馈到检测平台的过程。”Alert Logic公司的首席安全官兼联合创始人Misha Govshteyn表示说。“一家小的企业客户也能够获得拥有一处SOC，进而对成千上万的网络的成分的能见度的好处。”

　　如果事件变得更复杂，或客户需要更多的信息，Alert Logic公司可以将该事件升级到由团队的其他专家负责处理。如果当前的危机是一个Web应用程序的攻击，那么一名擅长挖掘代码和了解如何修复攻击的分析师便可能被派来协助。或如果日志中有任何异常，那么一名擅长理解系统日志的专家则可以帮助企业用户设置安全策略，以获得正确的数据，进而更好地了解发生了什么事情。

　　Alert Logic公司还提供一项ActiveWatch Premier团队，这是一种“白手套服务”，在该项服务中，分析师将被分配给一家特定的企业客户。分析师通过“梳理怪异的指标”进行人工分析，并将这些数据信息与其他环境的信息进行比较。

　　持续的监控是一项严肃的承诺。企业客户唯一想听到的事情便是：安全违规是在下班时间发生的。 Alert Logic公司有两处SOC:一处位于休斯顿，另一处位于英国的卡迪夫。英国团队下班的时候，休斯顿刚刚醒来，反之亦然。休斯顿的SOC房间的角落里会有一面威尔士旗，而在卡迪夫中心则有一面美国国旗，这是为了提醒分析师们自己是同一个分析师团队的扩展部分。

　　并不是每个人都需要SOC

　　在参观了SOC，并了解了该团队的连续监测工作之后，我们不禁很容易的会开始思考每家企业都需要投资于SOC了。但事实并不完全是这样， Alert Logic公司及其他供应商可能已经使更多的企业组织需要通过SOC来工作了，但事实上，只有当您企业已经做了其他的安全投资的前提下，这样做才是有意义的。

　　每家企业组织都有各自不同的安全成熟度水平;他们是否已经为SOC做好了准备取决于自身的具体水平，Hall说。那些只有基本安全控制的企业是处在成熟度模型的最低层，他们一般会部署终端安全工具，如防病毒、网络防御如防火墙、以及VPN来保护远程连接。这些活动通常由 IT工作人员来负责管理，并且主要的焦点做足这方面的工作，而不出现过失。

　　随着企业组织的日趋成熟，并开始意识到他们需要做的远不仅仅只是基本的安全保障工作，问题就成为如何扩大其安全专业知识。企业组织通常会查看一些专业系统如IDS/IPS、SIEM、WAF，和漏洞管理，但其IT团队可能不知道如何应对这些系统所产生的警报。于是，该企业组织应该建立自己的内部安全团队，聘请外部安全人员，甚至购买安全即服务。

　　“于是，您所在的企业组织便开始达到一个新的层次了，您会说，好吧，我想做的不仅仅是基础性的安全保障，但我们也不能真正一步到位的选择一个全面的SOC。“也许我会在我们的IT团队聘用一些专门的安全管理人员。” Hall说。

　　Hall说，Alert Logic公司实际上就是挑选了大量处在这一阶段中的客户，因为这些企业组织倾向于寻求提高他们的安全能力的方法。GenomeNext公司便是其中一个例子，该公司在迁移到24/7全天后的SOC之前，原本采用Alert Logic公司的服务用于其Web应用程序防火墙，日志管理和安全威胁管理能力。

　　一旦企业组织有了专门的安全团队来实施相应的管理政策，如确保员工在他们的机器上安装了终端安全软件，且防火墙配置正确，他们将开始寻找其他方式来改善他们的操作。那么此时，便是时候开始思考SOC了。

　　“我们的客户表示说，’我们希望得到更好的，我们希望提升我们的安全。’”Hall说。

　　虽然一家公司可能能够在低端的安全模式下从SOC中获益，但这将会花费大量的时间和预算才能成功。这不仅是一项技术投资，而且是一种心态的转变，因为企业组织必须优先考虑安全问题。几乎无穷无尽的数据泄露事件，实际上正推动着企业组织更快的朝着成熟模型迈进，因为企业组织的高级管理人员和董事会已经看到了“刚刚足够的”安全所带来的影响，Hall说。

　　不同的关注点

　　在访问的当天，休斯敦部分地区遭遇了停电，其影响了Alert Logic的SOC。但正是由于Alert Logic及时转移到了其位于英国卡迪夫的中心继续实施监测，同时等待电力恢复，使得他们的客户并没有受到影响。该公司针对停电、飓风和其他中断事故已经制定了一套备灾计划。

　　对于大多数企业组织而言，大规模的攻击，如安全违规行为所导致的数据被盗，或应用程序和实例从AWS上被删除，均会被认为是灾难性的。而在Alert Logic公司看来，最坏的情况下会出现跨越多家客户的安全威胁事件，佩恩说。其可能是一次协调性的攻击或一个大型蠕虫病毒的爆发，要击垮一家企业组织。对于这种情况，SOC可以组成一个专门的团队，定期监控受影响的客户，并提出关于如何减轻威胁方面的建议。

　　鉴于如此多的安全措施都变得自动化，那么绕过SOC而直接选择采用自动检测是否更有意义呢?自动化检测的作用是有限的，特别是考虑到当前安全威胁复杂情况的不断变化。新的威胁正在被发现，并且制定了新的攻击方法。如果企业组织没有相关的安全人员能够将自动警报转换为可操作的措施，那么他们也就可能没有任何检测能力。

　　“当您企业组织考虑采用自动化的工具方法来检测相关的安全威胁时，有太多的变量是您所需要兼顾的。” Hall说。“而我们唯一的办法就是通过密切的观察和保持警惕。”

　　现在，很多企业组织依然意识到单单依靠购买传统的安全技术方法是不够的。预防需要兼顾安全隐患检测并重，而选择安全运营中心则是一种利用熟练的安全人员、先进的分析工具、实施连续监测的有效措施。“如果您不知道您在做什么，就会很容易做错事。”Govshteyn说。

　　责任编辑：余芯