大安全时代SOC与EOC的痛点和发展方向

企业安全运维中心“SOC已经进入疲劳期和更年期，亟需变革”，SOC的失能不仅意味着大笔网络安全投资的失效，而且在“黑天鹅“事件中会让企业蒙受巨大的经济损失。与wWannaCcry病毒让全球大量SOC颜面扫地类似，新型肺炎也暴露了公众应急响应和指挥系统（例如CDC之类的EOC应急响应管理控制中心）普遍的种种不足存在的一些问题。

过去一年中，安全圈最热的话题莫过于从被动的合规驱动到主动的能力驱动，而所谓能力驱动，说白了就是提高安全工具和安全管理（在风险管理的大框架下）的有效性，例如应对“护网行动”、突发重大“灰犀牛”“黑天鹅”这样的真刀真枪的事件时，SOC（含CSIRT）安全运营中心的响应和处置能力。而面向公共安全和灾难救援的EOC（应急管理控制中心），也面临几乎同样的问题。

传统EOC与SOC的共痛点

1. 低质量警报和情报导致的告警疏漏和告警疲劳

2. 工具和流程过于碎片化，自动化程度低，事件检测和响应周期过长

3. 数据量过大导致的数据管理成本升高、分析处理效率低下

4. 跨部门跨企业跨行业的情报分享机制不畅

5. 并非开放平台，难以对接公共资源（第三方供应商、自由开发志愿者、第三方应用和数据API），导致EOC和SOC在开放性事件中检测和响应、资源管理调度与综合指挥部署能力低下。

6. 数据透明化和可视化程度低、不能很好处理隐私和大数据分析和治理的关系

7. 人才短缺

鉴于网络空间和物理空间的安全威胁的复杂性不断增加，同时二者的技术堆栈、应急响应处置框架和方法又有颇多相似之处，安全牛给今后EOC和SOC建设者和决策者提几点建议：

1. 决策者必须应基于长期、前瞻和全面的策略来建设和完善EOC和SOC，提高运营效率并支持新的业务目标，仅仅从战术上缝缝补补，刻舟求剑是行不通的，能处置非典的EOC，应对不了新型肺炎，同理，能够应对新型肺炎的EOC，未必能够应对新时期的公共安全威胁。

2. 大型组织应该意识到，安全分析和运营管理的本质是大数据应用，这要求EOC和SOC的安全团队具备相当的数据管理技能，能够大规模构建和运营安全数据管道。

3. EOC和SOC需要进行云迁移，构建能够跨IT架构的预防、检测和响应平台。

4. 开发和维护高效EOC的关键是供应商管理，而不是闭门造车。

5. EOC建设需要关注拥有丰富SOC系统和行业经验的供应商，而不是缺乏2B基因的互联网企业。

那么在危及广大人民群众健康、财产的重大公共安全事件中，一个应急响应指挥中心（EOC）应该具备哪些功能和效能？有没有可参考的合理框架和模型？以下，安全牛从网络安全媒体的角度出发，将EOC与网络安全管理运维中心SOC（涵盖应急响应中心）进行关联对比，以期能够抛砖引玉，对当下和未来的危机响应中心EOC的建设和改进能够提供一些有价值的参考信息：

高效EOC与SOC的相同之处

过去一个月的事态发展几乎完美再现了一个教科书级别的公共治理受挫案例。虽然新型肺炎并非网络空间的勒索软件或者蠕虫病毒，但面对新的“未知威胁”，在预防、检测、分析和响应几个关键环节上，二者战术、技术堆栈与策略上有着极高的相似度。因此，对网络安全领域和公共事业管理部门来说，EOC完全可以借鉴SOC的经验，我们必须尽快识别并吸取教训。以下是下一代SOC和EOC的共同诉求：

• 主动化（感知预测）
• 可视化（决策支持）
• 实时化（检测响应）
• 自动化（缓解措施）

主动化的关键：大数据和AI驱动的态势感知

态势感知这个专有词汇，最初来自战场指挥系统，因此并非SOC专属，而是大多数应急综合管理指挥系统的能力诉求，重要性不言而喻。

网络安全和公共安全态势感知的共同目标类似：从漏洞（病毒、灾害）、资产（基础设施、数据、人员、供应物资、等等）感知，到行为感知（病毒感染途径和方式），到自适应防御（自动编排流程或者给出交通、隔离、物资调配等方面的策略规则和可行动量化分析结果，例如防火墙规则、特权账户规则、资源配置、政策调整等等）和威胁预测（大数据人工智能分析）。

对于SOC来说，态势感知的“感”可以是内部和外部威胁情报（例如IoC），端点安全、防火墙、流量分析、用户行为分析等工具产生的日志、告警等有价值数据，“知”则强调数据处理深度和可行动分析结果。对于重大公共安全事件，政府需要一个最高等级的MACC（跨部门联合指挥中心），关联协调多个部门多级政府的EOC、DOC、MOC分支，协同作战，最高指挥决策必须根据中央仪表盘进行基于态势感知的，、数据驱动的高效决策，这就对下一代EOC和SOC提出的共同核心诉求。

在本次新冠肺炎疫情中，“态势感知”的重要性得以凸显。据奇安信官方微信透露，春节期间，为更好控制新型冠状病毒疫情的传播速度，某部委及全国多个省市的下属机关作为此次疫情防控的重要支撑单位，第一时间向奇安信集团发出数据分析技术的请求，希望利用大数据技术分析辖区内的疫情扩散情况，为精准防控提供数据支撑。

相比其他领域的IT企业，网络安全企业在威胁“态势感知”和“基于大数据分析的事件响应”方面，在技术堆栈和产品经验有着明显的优势，。例如2017年在全球范围爆发，导致至少150个国家、30万名用户中招，造成损失达80亿美元的“WwannaCcry勒索病毒”（下图），比新冠病毒传播速度快得多的。

网络安全行业“养兵千日”的积蓄的能力和价值，就是为了应对网络空间“超级病毒”的爆发，而这种战斗力，也完全可以转换用于对抗现实中的疫情，这也是为什么疾控管理部门会第一时间求助网络安全企业的原因。

除了事后的监测和应急响应，大数据和人工智能未来还将在事件预测方面发挥重大作用。

下图是加拿大人工智能公司Bluedot的人工智能疫情监控产品，该公司使用自然语言处理和机器学习技术，通过全球的新闻报道、航空数据，以及动物疾病爆发的报告进行筛选。流行病学家可以查看自动化分析结果，一旦确认，该公司就会向其公共和私营部门的客户发送警报。特别值得注意的是，早在2019年12月31日，该公司就向其公共卫生部门客户发出了武汉肺炎疫情爆发警报。

此外，Bluedot还在官网上宣称，该公司的AI产品还成功在佛罗里达州塞卡病毒爆发前六个月就发出了警报。

通过数据驱动的分析和预测，Bluedot能以超过疾病传播的速度追踪和传播疫情信息，并正确预测了武汉病毒在初次出现后将在中国大陆以外初次出现的地方—曼谷，首尔，台北，东京。

可视化管理：一切围绕仪表盘

对于SOC来说，可视化有很多层面的含义，包括数据和身份权限在网络中的“东西流向”，以及安全信息的可视化管理，例如仪表盘。对于EOC来说，最为重要的一个可视化应用也是仪表盘——基于GIS的仪表盘，例如下面这个美国国家公共安全GIS联盟（NAPSG）基金会为休斯顿的常规搜救任务建立的模型资源管理仪表板：

这个Web模型仪表板托管在Esri ArcGIS Online。用户可以在模拟的“实时”资源管理仪表板环境中与地图和数据进行交互。交互地图提供有关救援请求，、救援完成，、救援人员的状况以及医院和庇护所的状况的位置和表格数据，这对于当下的新型肺炎治理来说，有着直接的参考意义（例如有新闻报道部分因封城滞留外地的武汉人被宾馆和交通部门拒绝后，由于缺乏公开统一的资源查询工具，有的去了网吧，有的去了民宿，有的甚至滞留街头，而出现发热症状的，也无法根据医院接待能力和优先级来选择就诊）。

由于缺乏官方统一的EOC终端应用，民间一些技术人员自行开发了一些查询工具，例如在微信上快速传播的“新型肺炎确诊患者相同行程查询工具”。随着这些民间自行开发的工具增多，相关的安全性问题也会凸显，例如这些无法与EOC对接的临时工具缺少数据透明度和可信度以及必要的安全加密和个人隐私保护，而且很容易因为混入一些恶意站点而产生新的安全威胁。

实时管理：延误与损失成正比

SOC对高级持续攻击的检测和响应周期越长，黑客病毒在系统内或供应链中“扩散”的范围越大，企业蒙受的损失越大，疾控和公共安全管理EOC也是如此。在疫情期间，民众可以从各大社交媒体平台等信息源头获取疾控中心的实时更新疫情图，这是一个很大的进步，但问题在于这个疫情图的信息维度依然太少，实时性性，深度和广度都不够，还没有细化到可行动信息的粒度。

说到实时性，没有什么是比地震预警系统更强调反应速度的了，但是与疫情相比，野火的治理也许更为接近，下面这个示例是由国际消防长官协会（IAFC）提供的“野火状态”仪表板。实时更新的实时仪表板提供了有关美国野火的最新信息，这些信息是按州，、燃烧的土地和原因组织的。本地和区域应急管理办公室可以使用该信息来监视野火的状况并制定应急计划。

这些操作仪表板使应急管理人员和其他方可以更好地理解复杂、，近乎实时的数据源中的数据。这种实时的可视化信息展示方式使紧急情况管理人员能够从数据中获得见解，从而帮助他们在危机期间做出更明智的决策，采取及时精确的行动并制定更全面的战略。

下一代SOC的进化方向（EOC可借鉴）

政府、机构和企业EOC和SOC都处于成熟度模型初级阶段向中高级阶段进化的过程中：主要变化表现为：

• 从工具到平台化
• 从手工到自动化
• 基于内部数据到基于开放、实时的威胁情报
• 从预防到预测
• 从封闭到开放
• 从本地到云端

鉴于EOC与SOC的技术基因高度相似，都在经历成熟度阶段的一次跃迁，安全牛相信在战胜新型肺炎的战役后，政府和大型企业将有更大的热情和预算资源投入下一代智能化、数据化、平台化的EOC和SOC的建设。

近年来，无论是SOC还是EOC，都正在成为应对网络安全和公共安全事件的主流应对方案而进入市场爆发期，根据安全牛《下新一代SOC研究报告》，2020年SOC市场规模将达到100亿元。

总结：站在大安全角度看安全，用技术变革倒逼进化

EOC和SOC，这两个过去“八竿子打不着”的方案，注定将在大数据和人工智能时代殊途同归，经历一次从合规驱动到能力驱动，技术堆栈和业务逻辑趋同的重大变革。而拥有丰富SOC经验和理论的网络安全企业，应当将在网络攻击物理化和公共安全事件响应数字化的“大安全”融合时代发挥重要作用，要站在安全（Safty）角度看安全（Security），迎接新的挑战和市场机遇。