【前言】今年是忙碌的一年，忙到最近几个月都没有写点啥了。但是这几个月是十分充实的，我也不断抓紧时间吸收各种知识，终于抽空将这段时间的收获分享一下啦。

2015年11月2日，Garnter的Oliver和Neil发布了一个报告，题为《智能SOC的五大特征》（The Five Characteristics of an Intelligence-Driven Security Operations Center）。

报告表示，必须将智能纳入SOC的架构，要拥抱自适应的安全架构，要变成情境感知的和情报驱动的。安全领导者应该知道智能SOC如何使用工具、流程和战略防护新型威胁。

这个五大智能SOC的特征分别是：

• 在战略和战术上运营威胁情报

• 通过高级分析将安全智能落地

• 极尽所能地实现自动化

• 捕猎和调查（侦查与猎取）

• 部署自适应安全架构

不明觉厉？如果你一直跟踪Gartner的研究，了解Neil，那么很多疑问就解开了。

首先，值得讨论一下的是这个报告中的Intelligence-Driven是指智能驱动还是指指情报驱动。

A）（企业）安全智能，即（Enterprise） Secuirty Intelligence，是Gartner作为一个安全战略提出来的（Gartner Fellow约瑟夫.费曼2010年的报告——《准备企业安全智能的兴起》），有很明确地定义。在这个背景下，可以理解为智能SOC（Intelligent SOC）。

B ）在这个报告中，对Security Intelligecen的阐述是：脱胎于威胁和操作情报，加上组织的情境，提供了ISOC的intelligence的基础，but this intelligence is of limited value by itself until it is operationalized. 初看，可以解释为安全情报，意即情报驱动的SOC。细看but后面的内容，将情报变成可操作的过程，不就是智能化的过程吗？

因此，两个解释都应该有道理吧，就看从哪个角度去看了。那么就两个都放到标题中吧。出于我个人习惯，以下用智能SOC指代Gartner提出的这个ISOC。

这次，Neil对智能SOC中的智能进行了五个方面的细化。而在这五个方面之上的，还是情境感知和自适应安全架构。Neil在2010年为Gartner撰写的一份报告中指出，“未来的信息安全将是情境感知的和自适应的”。还是他，在2014年初提出了自适应安全架构的概念。

情境感知已经说过很多了，这里不再赘述，简单介绍一下自适应安全架构（Adaptive Security Architecture），也有人认为应该翻译为可适应性安全架构，因为觉得“自”，“自动”有点过。不过，Neil还真有很多Automation的意思在里面。

什么是自适应安全架构？参见下图：

这个架构强调监测和检测，也就是说在防护之外要重视安全分析（监测/检测/预测），以及基于分析结果的响应，形成闭环。同时，在响应的时候很重视自动化。

Neil在2014年的一个报告中指出，信息安全架构的重心要从防护向持续地、普遍性地监测、响应及其流程投入更多关注，要利用安全情报。

回到报告中，有句话，An intelligence-driven SOC can evolve and adapt because of the use of security intelligence that changes the scope and focus of security operations activities  continuously. 值得仔细体会。

下面再来看五个特征：

1）威胁情报：这个业界已经谈了很多了，无论是战略层面的还是战术层面的，以及落地的威胁情报平台（TIP）。

对于威胁情报，更全面的划分是三个层次：战略的、操作的、战术的。

2）高级分析，其实就是安全分析（Security Analytics），SANS的调研报告已经专门谈了这个，包括最新的2015年的报告。安全分析是与安全智能紧密联系在一起的。因为现代的安全分析已经不是传统意义上的IDS和SIEM，而更加强调智能，譬如说行为轮廓分析、复杂的统计分析、机器学习、预测算法等等。

3）自动化。这个可能会产生很多争议，而这个正是该报告的核心。报告要表明的是，只有自动化才能提升响应的效率，才能追上被攻破的速度。可以回想一下Verizon的DBIR报告，***耗时一直领先于防御耗时。而自动化真的很难，所以报告用了“尽可能”的措辞（AutomateWhatever and Whenever It Is Feasible）。报告表示：“Rather than to seek full automation of all SOC activities, enterprises should seek ‘automatability’"，也即要追求可自动化的能力。我认为，自动化可以从以下几个方面去努力：

A）在检测过程中利用智能分析的方法自动化地（或者很少人工参与的）检测出***，譬如利用机器学习、用户及实体行为分析画像等方法；

B）在交互式分析的过程中，工具可以尽可能地协助分析师去进行Hunting and Exploring，譬如给分析师自动的准备好***的情境信息，有效地呈现在他/她的面前，给他尽可能多地启发和线索。这个其实就是一个analysis-driven或者human-augmented安全决策支持系统。In this way, a human is still involved in the process, but the process itself is highly automated to make effective use ofscarce SOC resources.

C）在响应处理的过程中，可以利用工作流系统、自动策略分发系统、user provisioning系统来提升响应自动化的水平。Gartner报告中称作Security Incident Response Platforms (SIRPs) and Security Operations Automation Platforms (SOAPs)。仔细研究一下美国市场，已经有不少这类公司专注于IR自动化了。

补充一下，关于安全自动化，Gartner的Anton Chuvakin有一篇博客可以参考。

4）捕猎和调查，这两个词，尤其是Hunting，最近也是很热，很具***的味道，强调从***者的角度去进行防御，去检测***，找到IOC/IOA，并且特别强调分析师的作用。好的猎人和平庸的猎人肯定是有很大差别的。这里，其实是对SOC的分析师提出了要求，也对安全分析的方法论进行了新的诠释，当然也对SOC的安全分析工具提出了技术要求。猎人手里的工具是很重要滴。工具是什么，就有上面提到的高级分析（安全分析）工具，还有人机交互支撑工具和过程。BTW，SANS在2016年会举办一个Threat Hunting and IR的峰会。

5）部署自适应安全架构，这个已不必多言。

最后需要指出的是，智能SOC/情报驱动的SOC（ISOC）的时代已经开启，现在只是更加明确化。ISOC将融入新一代的安全分析技术，包括BDSA（大数据安全分析）技术，威胁情报技术，还有对人的更高要求。

【参考】我的SOC专题