過去，很多大型企業部署傳統的安全運營中心（SOC，Security Operations Center）作為對他們信息安全態勢保持警惕的手段。最流行的模式主要集中在建立大型的指揮中心，在那里派駐大量的分析師協同工作，對實時安全數據進行評估，并進行手動響應。我們Forrester Research將這種模式稱為SOC 1.0。盡管這種模式證明了其有效性，但SOC 1.0存在的日子已經屈指可數了。

在當前的經濟條件下，建設或者維持一個SOC是一項艱難的預算提案。事實上，針對SOC成本頗具諷刺意味是，這些SOC中心的設計初衷是通過將大量安全工程師和分析師集中到一個辦公環境中來降低處理安全突發事件的成本。但是時過境遷，隨著威脅的演化，新技術的崛起，出現了更好的建設SOC的模式，人們不必建立一個物理的SOC中心就可以完成SOC的各項任務。Forrester將這種新模式稱作SOC 2.0。

驅動SOC變革的因素是多樣化的，其中包括網絡運營中心（NOC，Network Operations Center）的職能轉變。傳統的NOC被設計用于監控網絡級別的事件，并針對企業網絡提供第一級別的工作分流和故障排查。但是，隨著企業開始著手建立更健壯的，基于ITIL的，能夠支撐甚至取代部分安全操作功能的統一運營中心，這意味著一線和二線安全運維操作可以合并在一個運營中心中處理。因此，新型網絡運營中心的工作人員可以只將最高級別的事件提升到安全運營中心去處理。

隨著NOC和SOC的功能持續演化，Forrester預計未來的企業運營中心將逐漸演變成SOC服務的消費者。隨著事件提升并超出了當前運營中心技術水平，高水平的安全工程師將會被虛擬地集合在一起，臨時性地去處理這個高級別的安全事件。

這意味著什么？NOC向新型運營中心的變遷將極有益于安全運維工作的開展，并將催生出一種未來的SOC形態。這種SOC將是虛擬化的——即通過協同技術將必要的基本資源整合到一起，并且不必固定在一個特定的地點。這種虛擬化的結果將使得安全運營中心變成一個針對所有IT的服務提供者，充分利用聚集在這個新的虛擬SOC（VSOC，Virtual SOC）的人的技能、信息和技術。這樣一來，最大的好處是整個運營成本的減少：虛擬SOC的運營意味著安全運維工作將變成一項兼職工作。具備最高水平的安全運維人員可以被賦予兼職的職責，僅在必須對特定突發事件進行響應的時候拉到VSOC中來。

在SOC 2.0中，那些需要更新主動網絡控制的突發事件可以提升給這些兼職的VSOC工程師們。他們可以根據需要改變自己的角色，而不必總是輪班坐在那里盯著一堆監控屏看個沒完。這種新的模式可以使更多的分散在組織各個地方的高水平專家聚集在一個虛擬化的協作環境中處理各種安全突發事件。

通過增加這個新的虛擬化元素，SOC 2.0將變得高度依賴那個在出現危機或者需要的時候被通知去處理問題的人員，同時還依賴那些提供突發事件可視化、并幫助更快進行事故處理的工具和技術。

因此，為了確保成功，在構建您的SOC 2.0的時候必須考慮以下三個步驟：

1．確定核心人員。虛擬團隊的構成與傳統SOC 1.0下所需的工程師大不相同，它需要訓練有素的、經驗豐富的安全和風險專家。這些VSOC運維人員必須比NOC工程師更有經驗，更訓練有素；他們必須是具有某些特長技能的安全專家，例如精通防火墻、VPN，以及IDS/IPS；或者是在特定領域負責整體安全策略的安全架構師。培訓和經驗尤為重要。同時，這個團隊還應提供一套有利于留住員工的激勵機制，使得VSOC工程師們在繼續各自職業發展的同時始終可以并肩戰斗在同一條信息安全的戰壕中。

2．確定核心技術。安全信息管理（SIM）工具將成為SOC 2.0的核心技術組件，它可以作為必要的信息庫提供給VSOC成員一幅安全視圖。尤其重要地是，這些信息管理工具必須直觀、易用。這些工具必須具有一個Web接口以便于世界各個角落的瀏覽器都能訪問到，因為VSOC工程師們在處理突發事件的時候可能分布于世界各處。

其它對于SOC 2.0很重要的工具還包括網絡監控工具——提供對網絡狀態的深入感知；以及計算機取證工具——提供對超越服務中心的事故進行深度調查。Forrester正準備將這這些工具集定義為NAV（Network Analysis and Visibility，網絡分析與可視）。

3．確定核心的職責和流程。SOC 2.0的成功，以及傳統SOC向VSOC的轉變都有賴于將日常安全任務轉化到運營中心去的能力。位于運營中心的指揮中樞必須能夠緩解一線和二線安全突發事件，并知道何時升級到三線突發事件，轉給VSOC。因此，迫切需要確定VSOC相對于運營中心的核心職責，并就如何劃分IT安全管理和IT運維之間的職責達成一致。

圍繞虛擬SOC的最后一個建議是：“利用社會工程”。換句話說，組織應該通過使用社會化網絡工具擴展其VSOC的能力。Forrester設想了一種未來的場景——不同公司之間的VSOC功能可以相互連接，從而他們可以分享有關當前安全突發事態的相關信息，并協助同行緩解攻擊。這些公司將能夠進一步受益于提升的態勢感知能力、增強的可視度，以及獲得大量的知識庫。SOC 2.0的社會性將使得其具有自由的伸縮性，并進一步降低所有參與方的安全運營成本。