实现有效的网络安全，SEIM和SOC显然远远不够！

自20世纪90年代以来，人们对于数据安全的态度发生了变化，与之相对的现实是，企业C级领导却始终未能跟上新威胁以及威胁传播方式的新思维和新变化。

目前，即将登场的一个重大变化就是人工智能时代的到来。恶意软件是代码，很快地，攻击者就可以训练机器人编码器编写比人类 码农 更好的代码，这些代码不仅能够从环境中学习，还能不断调整其行为来逃避监测。与此同时，防御者也可以使用人工智能来监视异常情况，并采取相应的措施来缓解威胁。所以，未来应该是“机器人”与“机器人”之间的攻防大战。

在短短20多年内，我们要从密码破解转向机器学习和训练AI，以及实现黑客攻击过程的工业化，也就难怪人们很难跟上威胁发展的步伐了。

在N Brown公司，身为IT安全专家的Mike Koss实施了Darktrace，这是一种使用机器学习（ML）来识别和预防未知威胁的防御解决方案。

在Koss看来，机器学习的美妙之处在于，随着时间的推移，它将学习你的数据集，只要模型是好的，其容量越大就可以训练得越好，所以它就是一个“即插即用”的插件。

这些 工具 会越来越多地进行干预，而不仅仅是报告。但是，与其他任何工具一样，基于机器学习的防御，其实际防御效果取决于其具体的使用方式。

以Darktrace为例，如果你使用Darktrace并且只用其监控传入和传出的互联网管道，那么你将无法可视化组织的其他部分，而Darktrace也只能学习你所提供的这部分数据，无法学习和识别其他部分的数据。

虽然积极的机器学习防御可以帮助缓解技能差距，但在自治系统（autonomous systems）被信任以保持网络安全之前，还需要很长一段时间。与此同时，还需要一系列技能。在我们能够于该方面取得持续进展之前，人们将会非常紧张地将它们置于无人监督的模式之下。

充满激情的员工

教育系统中培养出了太多技能组合较差的从业者，因为专业化往往都是用大量资金累积起来的。就像仅监控系统某些部分的工具一样，过多的专业化可能会导致覆盖面缺失。但请记住，防御方面的缺口正是攻击者梦寐以求的攻击入口。

对于一个有效的团队来说，更重要的是要具有热情、工程思维和“迎难而上”态度的通才。

之所以强调“通才”是因为，如果你不训练他们成为所有领域的通才——能够编写恶意软件，能够分析恶意软件，能够查看网络包并弄清楚为什么某个连接是来自某个位置的——那么你将会留下缺口。

此外，真正富有激情的人，才是有效的网络安全团队所需要的人。试想一下，如果你的安全人员全都在下午5点准时下班回家，我想你的公司可能也就要完蛋了。

当然，拥有激情并不意味着你必须成为一名黑客。这种激情可以表现为“熬通宵为SNORT（一个入侵检测/IDS工具）编写规则”、“完成了很多 C语言 编程”、“调试了很多代码”或是“创建完成了某样工具”等等。

优秀的候选人并不一定要非常具有技术性，但他必须具备这种激情。

网络运营中心（NOC）和安全运营中心（SOC）分析师

除了对学习充满激情的通才和更专业的分析师外，你还需要一位优秀的领导者。这些也很难找到，并且通常代价高昂。此外你还需要某种体系架构支持，例如安全运营中心（SOC）以及安全事件和信息管理（SEIM）。然而，就像其他专业的安全解决方案一样，它们也会产生一种虚假的安全感。

虽然安全运营中心（SOC）以及安全事件和信息管理（SEIM）可以像日志源一样发挥很好的作用，但是许多组织实际上并不知道这些数据是什么，它们来自哪里，它们有多少，以及它们实际需要投入怎么的努力才能获取成果。

SEIM和SOC可能会非常危险。你的分析师和安全团队可能会忽略部分警报内容，因为他们每天都会收到5000多条有关“密码登录失败”或“来自未知来源的端口22访问”等方面的警报信息。所以，你必须对SEIM和SOC进行调整，以提升整个团队的响应质量和效率。

此外，也不可将网络运营中心（NOC）和安全运营中心（SOC）混为一谈。这两者之间的相似性通常会导致一个错误的观点，就是彼此可以很轻松地处理相互之间的任务。但事实上，二者的职责存在细微的差别，但也是本质的差别。可以肯定的是，二者都负责识别、调查、确定优先级顺序以及逐步解决问题，但问题的类型和所产生的影响是不同的。其中，NOC主要负责处理影响性能或者可用性的事件，SOC则处理影响信息资产安全的事件。

此外，两者的目标虽然都是管理风险，但是完成这个目标的方式却明显不同。NOC的工作要符合服务水平协议（SLA），并且以减少宕机时间的方式管理事件，话句话说，就是关注可用性和性能。SOC则度量他们保障知识产权和敏感客户数据的能力，关注于安全。

另一个NOC和SOC不能混为一谈的原因在于，二者所需要的技能集合完全不同。其中，NOC分析师必须精通网络、应用和系统功能，SOC分析师则需要安全工程技能。

所以，建议组织不要让SOC和NOC相互处理彼此的任务。如果组织只有SOC，那么建议组织可以从外部寻求NOC专业服务（外包），反之亦然。千万不要让NOC分析师处理SOC任务，反之亦然，因为它们是两个非常不同的领域。