隨著數字化轉型發展的不斷深入，一個技術先進且功能齊全的安全運營中心已經成為企業必須依靠的安全防線。2023年，企業對統一安全運營平臺（能力）的應用需求仍將會不斷加大，主要包括。

• 改善安全態勢：安全人員需要持續監控安全威脅和漏洞，并采取適當的行動來解決這些問題，改善組織的安全態勢； 
• 增強可見性：安全人員需要了解組織安全態勢的完整視圖，了解組織的網絡、系統和應用程序正在發生什么； 
• 優化安全事件響應時間：企業需要更快地響應安全事件和威脅，并以更高效的方式處理這些事件； 
• 更好的協同工作：安全運營中心需要協調組織的整體安全工作，包括安全政策和程序的實施和維護，安全技術的部署，以及安全最佳實踐方面的人員培訓。
• 改進合規性：安全運營中心通過提供結構化和文檔化的安全管理方法，來幫助組織滿足法規和合規性要求。

新一代SOC發展趨勢

一直以來，SOC都是幫助企業實現網絡安全體系化運營的最重要工具。基于以上對安全運營中心的建設需求，企業需要對正在應用的SOC技術進行諸多的優化和改進。新一代SOC技術在2023年或將呈現出以下發展趨勢：

SecOps流程自動化

研究表明，90%的企業已經計劃為實現自動化的安全防護進行投資。其中，一些企業開始嘗試使用提供自動化和AI功能的XDR解決方案。這些解決方案加強了企業在AI技術實現的能力，并將安全工程目前在組織中執行的許多手動任務轉化成自動化的處理模式。

使用托管威脅檢測和響應服務

由于安全技術的快速發展，組織發現很難獲得、部署和培訓內部團隊來操作它們。據ESG研究，85%的企業組織現在正在使用托管安全服務。企業一個最常見的選擇是托管檢測和響應（MDR），它允許組織部署先進的端點安全系統，并通過外包安全專家的遠程SOC管理它們。

使用MITRE ATT&CK框架

數據顯示，89%的組織開始將MITRE ATT&CK框架用于各種安全操作用例，從了解網絡攻擊者策略、技術和流程到指導SOC成熟度評估。因此，安全運營團隊也需要使用MITRE ATT&CK框架來提供上下文威脅情報，以改進優先級、根本原因分析和響應，并提高SOC應用的成熟度。

保障云應用安全

很明顯，云的使用在2023年將會增加。因此，擁有能夠相應擴展的安全工具和策略非常重要。為了利用云服務，企業必須應對不斷變化的云安全挑戰，無論是現在還是將來。因此，新一代SOC需要能夠直接在云端操作，并與基于云的應用系統兼容。這使組織可以統一監控云上應用程序、設備、服務器和端點，并提高云上系統運行日志的收集效率。

加強集成

為了提高運營和安全效率，新一代的SOC需要與更多的安全工具和系統協同工作并實現集成，包括安全編排自動化和響應（SOAR）、實時可視化工具、行為分析以及多數據來源的威脅情報。

智能化的威脅搜索

為了促進調查并提高檢測和應對威脅的能力，新一代SOC已經在使用基于機器學習的工具。根據ESG的研究，超過一半（52%）的受訪企業表示會優先考慮使用機器學習的新安全技術。此外，20%的企業正在試點機器學習項目，18%的企業計劃或有興趣部署機器學習進行威脅檢測和響應。

未來屬于開放式XDR？

雖然安全廠商不斷對現有的SOC方案進行優化和改進，但最終的應用效果還需要實踐驗證。有研究人員認為，目前SOC產品的應用不足很難從根本上改變。

首先，數據管理效率低下將是現有SOC框架固有的缺點。主流SOC方案普遍缺少一種流暢的系統化流程，來實現高效的數據收集、存儲和關聯，并確定海量數據分析的優先級。一些廠商推出開箱即用的數據處理和優先級確定機制，但它們還沒有證明其效果。

其次，手動工作在目前的SOC應用中依然必不可少，仍然需要由安全專家編寫相應的運營規則去人工配置。

此外，在確保SOC與組織常用的安全工具有效協同工作方面存在一些挑戰，找到整合的方法并不困難，但可能很低效。而當不同廠商發布新版本更新時，很多協同問題也會隨之而來。

在此背景下，開放式XDR被認為是企業安全運營能力體系的一種有效補充，甚至可能會成為傳統SOC方案的一種替代。開放式XDR與SOC之間有一些相似之處，但采用了不同的技術體系框架，因此更容易實現多種安全能力的集成與協同。由于采用的方法和框架體系不一樣，開放式XDR具有了一些獨特的方法，能夠以傳統SOC無法實現的方式處理新型安全威脅。

開放式XDR對海量安全數據的處理分析將更有效率。它明確要求對數據先經過統一的規范和提煉，然后存儲到數據湖或大數據處理系統，這是目前的SOC方案難以實現的。由于收集和存儲的安全數據已經過清理，開放式XDR得以最大限度地發揮人工智能的算法優勢。

此外，開放式XDR可以借助不同的安全控制措施來應對諸多風險，并使用統一的控制界面來保障用戶應用體驗。它還使組織可以借助單一平臺，更便捷地使用UEBA、SOAR、NDR、EDR及其他新型安全工具。