聚焦终端响应 智慧安全运营，2018 SOCEDR 应用建设高峰论坛

7月，蝉鸣的夏季，阳光炽热，我们相遇在“鹏城”，FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题，聚焦SOC&EDR在企业的应用建设，会议邀请了多位在SOC建设运营以及端点安全、EDR落地应用等方面有着丰富实践经验的企业安全负责人和知名厂商现场分享，受到了与会观众和嘉宾的热烈欢迎和讨论。下面一起来看看本次论坛的精华内容吧。

很多公司会出于纵深防御战略的考虑而购买一系列安全解决方案，这些措施方案时常会产生百万个日志和事件，他们之间鲜有相互的关联或协调，进而让安全投资发挥最大作用。建设安全运营中心（SOC）帮助企业安全管理人员更清楚和深入的了解攻击事件，提高企业安全应急效率和决策能力。在加强可靠性的基础上，节约企业安全运营成本。

SOC的一般建设步骤：

• 架构设计，大致包括：SOC服务目录、系统拓扑、架构视图、SOC运营模型、SOC组件模型、SOC运营依赖性、SOC交付位置、非功能性需求等

• 流程与组织设计（必不可少）

• UseCase设计（决定了SOC的运行效果）

• SIEM实施与整合

• 安全事件响应与工单设计

• 威胁情报功能设计与实施

•SOC报告设计与实施，SOC报告可以为业务提供良好的洞察力，确定其风险修复活动的优先次序。

•测试，试点与过渡运行

在构建SOC方面，IBM有着丰富的实践经验，在多年来帮助企业建设和运营SOC的过程中发现，很多威胁管理平台仍有诸多不足，需要安全分析员投入大量时间到威胁分析工作中去，占用资源，反应慢，误报率高。如何在管理好成本和投资回报压力的同时解决这些问题？为此，IBM推出了自己的解决方案，Watson & Resilient平台。Watson解锁了大量的安全知识，以快速启用全面的调查见解，利用认知安全来增强安全分析师能力；IBM Resilient平台则提供安全运营和响应服务的能力，Watson与Resilient平台的加入可以加速SOC认知和自动化工作流程。

在演讲的最后，刘璐莹也展望了下未来的SOC。她认为，未来成熟的安全运营中心将有能力超越传统的威胁管理，成为管理一系列业务风险的协调点，也即从SOC转向JRAC （联合风险分析中心）。

近年来此起彼伏的终端安全事件不断警醒我们，由防病毒、防火墙、入侵检测等构成的传统安全防护体系已经越来越难以应对新型的网络攻击。传统手段逐渐失效，防御网络攻击威胁需要新的解决思路方案，威胁检测预警成为近年来热议的话题方案和有效的防御手段之一。

随着近两年AI技术的突破，将AI技术应用于威胁监测成为了诸多厂商研究的热点。相较于传统的威胁监测，AI能够智能识别未知威胁，提高检测能力，同时，还能对事件进行关联分析，提高决策运营能力。目前，AI已经在色情图片检测、DGA、暗链、恶意URL、WebShell检测等方面有了实际落地的场景应用。