■ 北京 李先龄

为了降低成本，优化资源并提高事件响应和相关安全功能的速度和有效性，企业正在采取措施将其网络运营中心（NOC）和安全运营中心（SOC）相统一。

SOC与NOC相融合在概念上很容易理解，但实际上可能难以实现。Amazon Prime Video的CISO Brett Wahlin曾不止一次地研究SOC与NOC的融合，但由于缺乏通用数据集和工具集而受阻，因为这两者之间有着相当大的技术与理念差异。

NOC专注于连接和正常运行时间。他们对故障单、中断和性能下降进行响应。SOC团队则由警报、事件响应和网络攻击驱动。NOC研究数据包流量，而SOC团队试图揣摩攻击者的思路。他们在看似相同的问题上有着两种不同的思想。

因此，对SOC与NOC进行融合面临很多挑战，其中最大的问题是，这两个团队的目标有着根本性不同。NOC致力于连接并创建高性能的基础架构。SOC的主要任务是锁定资产并防止未经授权的人员进行连接，这是最大的绊脚石。其他挑战还有包括缺乏跨专业技能，缺乏通用工具集，甚至还有因担心数据可能被错误处置或误解而不愿共享数据等。

尽管存在这一系列挑战，但打破安全和网络团队之间的孤岛所带来的优势也是非常明显的，企业也非常乐意去尝试。SANS Institute的研究员Nelson Hernandez在有关该主题的报告中表示：“NOC与SOC的融合开始受到关注，将这两个团队整合成为企业防御外来威胁的统一阵线，可能也是降低成本，提高效率和优化资源的最佳方法。”

SOC与NOC融合的优势

SOC与NOC相融合给企业带来的主要优点包括：

1.更好的安全性

网络团队通常会收到有关性能问题的告警，而这些问题在进一步分析后发现往往是与安全性相关的问题，例如DDoS攻击。而两者相整合后的团队一起工作时，可以增强企业的安全状况。

2.改进网络性能

另一方面，与安全性相关的问题有时也可能是网络性能问题所导致的，例如，新的防火墙规则无意阻止了正常的流量。而整合后的团队可以深入研究网络性能问题并能够迅速解决这些问题。

3.缩短响应时间

在SOC与NOC融合方案中，合并后的团队可以减少安全从业人员响应攻击事件所花费的时间。当涉及到在紧急情况下进行处置时，更快的响应时间将有助于减少给企业造成的财务影响。

4.更高的运营效率

SOC与NOC协作可以消除工具集使用中的冗余，从而降低成本。通过减少花在日常流程上的时间，安全从业人员可以腾出时间从事更多重要的活动。

Enterprise Management Associates（EMA）对350位IT专业人员的调查显示，在过去的两年中，近90%的被调查企业称，安全和运营团队之间的协作有所增加，而63%的企业已经正式建立了网络和安全团队之间的协作，而不是临时进行。

EMA高级分析师Shamus McGillicuddy将正式协作定义为共享或集成工具，建立协作流程以及共享最佳实践。EMA的“Network Management Megatrends 2020 Study”还显示，在两个团队之间建立了强有力协作的组织在整体安全性和网络工作方面更加成功。

SOC与NOC的融合是一个长期的过程

McGillicuddy表示，SOC与NOC融合是一个长期的过程，从创建Slack Channel来共享信息到完全融合，可能不到1/3的企业能够做到这一步。

EMA调查的结果类似于SANS Institute的报告，该报告发现12%的受访者具有融合的SOC/NOC，以及集成的仪表板、API和工作流。另有20%的人表示，NOC团队是检测和响应工作不可或缺的一部分，但这种合作只是临时的。另一方面，有12%的人表示SOC和NOC之间的沟通很少，另有21%的人表示团队仅在紧急情况下才一起工作。

这一类的企业网络团队将事件数据提供给安全团队的SIEM系统，但是却并未做到完全的融合。

但也有一部分做得好的企业，他们已成功地将NOC和SOC集成到“融合中心”。

例如，不到一年前，一家信息服务与技术公司Neustar的NOC和其安全部门还是完全分开的，但在前CIO的强有力领导下，两个团队整合在了一起。几乎所有内容都进入到一个中心，该中心负责从网络的角度管理团队所做的一切，包括公司的网络、可用服务、公司的数据中心（包括安全性）等，它们全部由一个团队管理并运行大量不同的工具集。

该公司产品管理高级总监Matt Wilson表示，此举是整个公司共同努力的一部分，以创建一种新的协作文化，并将不同的团队整合在一起以减少冗余并提高效率。例如，两个团队还发现他们过去都各自购买了Splunk许可证，这对于公司来说无疑是种浪费。

通过消除工具集上的重叠，Neustar能够降低许可成本，但更重要的好处是让两个团队都改变了他们过去根深蒂固的传统思维，并共同努力确保每个安全决策都考虑了网络方面，反之亦然。

SOC与NOC的融合工作是由“改善整体安全状况的共同愿景”以及避免团队之间沟通不畅和相互推诿而推动的。

在这一过程中，首先要让每个人都接受这个概念，为避免形成孤岛，这需要跨职能团队朝着一个共同目标而努力。

将安全和网络团队的合并，就好比是将应用开发人员和运营团队集成到DevOps中的趋势一样。如果想高效地工作并对即将出现的新威胁和新问题做出快速反应，就必须采取类似革命性的整合方法。

在应对故障告警或安全事件时，整合后的团队响应速度和效率有了显著提高。团队使用Slack Channel来驱动实时通信，因此，当网络团队遇到棘手的问题时，他们可以将其引用到共享的SOC/NOC会议室，团队可以在此共享数据和见解。

该过程完成的最终状态是什么？这一过程似乎没有终点。因为未来随时将会出现新的威胁，这将不断推动对新的和不同的工具集和协作的需求。

何时整合安全性和网络运营

就Neustar公司而言，有一个自上而下的指令来增强协作并打破团队之间的孤岛。在许多公司中，IT战略的更改或更新周期就可能会导致SOC与NOC融合。

例如，如果公司已决定构建私有云，并且网络团队现在需要重新配置流量以适应这种新方式，那么这就是让安全团队找出保护虚拟机的最佳方法的最佳时机。也许是时候部署分布式防火墙或采用微分段了，也许是时候开始围绕零信任模型进行尝试了。

SOC与NOC融合并不仅限于故障或事件响应级别。通过在流程的早期组建团队，在产品采购方面，他们可以在共同使用的工具采购上进行协作。然后，在实施工具后，团队可以开始在管理和监视方面进行协作。

企业CTO、CIO和CSO将很容易理解这种高效的工作整合及协作带来的好处，而不是拥有两个孤立团队，每个组织都应考虑探索整合NOC与SOC的问题了。