【IT168专稿】随着IT技术的不断发展，而衍生出来的全新安全威胁已经使得企业IT应对乏力。企业需要一种全局角度掌控分析安全问题的能力。在这样的趋势下，SOC已被公认为能帮企业解决这个困境的有效手段。近两年来，国内SOC市场发展混乱，产品种类繁多，而导致企业用户在SOC选型、部署上遇到了一些困难。为此，我们采访到了迈克菲安全技术专家胡江波先生，就企业用户SOC选型、市场趋势等问题给出参考意见。

▲迈克菲安全技术专家胡江波

　　国内SOC市场分析

　　胡江波谈到，目前国内的SOC市场主要面向的是大企业客户。不同行业的企业客户对产品的理解和需求也存在差异，而且对SOC也都有一定的定制化需求。这些因素促成了国内有非常多的SOC供应商，而且这些供应商大多只耕耘几个特定的行业或者客户。

　　SOC起源于国外，谈到产品形态，就必须提另外一个名词SIEM。国内厂商的产品多以SOC自居，而国外厂商则将产品定位为SIEM。胡江波介绍到，以目前在售的产品形态看，国内的SOC大约等于国外的SIEM加上网络运维中心NOC，这与国内外客户的IT运维环境有关。国外客户多是在NOC无法满足其安全需求时，引入SIEM产品，而国内客户在引入SOC产品时，在IT运维方面多是零基础，基本的NOC并没有建立。而国内某些厂商为了在竞争中引导客户，先以SIEM为核心构筑SOC，然后不断扩大SOC产品功能范围，先是加入网络管理，后又加入设备管理、策略管理、变更管理、基线管理、应用管理等原本属于IT运维管理范畴的功能。

　　胡江波分析到，虽然这类SOC加入了很多功能，但是这些功能并没有被充分实现，比如其核心的网络管理功能与专业的网管平台相比差异巨大，非核心的策略管理、应用管理等功能更是缺乏充分的验证和实现。最终国内SOC产品的核心价值还是其SIEM功能。

　　而针对国内环境的企业用户，怎样的产品才能算是一款优秀的SOC呢?胡江波总结了四个方面，一是产品使用和维护要非常简单，最好采用Out of Box的交付形式，在界面设计上应该保持逻辑的高度统一;二是产品要有高速的查询速度和数据库写入速度。传统的关系型事务型数据库无法满足高速查询和写入的需求，必须进行革新;三是产品的架构要非常容易扩展，既支持面向大型客户的分布式部署模式，也支持面向中小客户的Combo模式;最后产品既要支持与SOC出品商自有产品的垂直整合，也要支持与第三方厂商的横向整合，如此才能对事件信息进行丰富，提供动态上下文信息及情势感知信息。

　　分析SOC能为企业带来的好处，胡江波说，“不同企业的痛点不一样，所以SOC对企业的最大价值也很难一概而论。但是如果我们回归最原始的需求，企业无SOC，则企业看到的是零散的海量的孤立的海量事件，完全是一个无法触摸的黑盒。企业有了SOC，SOC会对事件自动分析，形成可视化的视图，并将企业关注的情报推送至管理员的面前，即将海量无生命的事件转化为可操作的信息。”

　　所以SOC对企业最原始最重要的价值是让企业获得了可操作的信息，让企业真正明白自己的IT环境发生了什么和正在发生什么。当企业获得这些信息时，企业在其他产生日志给SOC的设备(比如防火墙、入侵防御)上的投资才体现出价值。

　　企业SOC选型建议

　　1、 产品量级选型方面的建议

　　企业当选择与企业规模与运维能力相适应的SOC产品，具体包括如下几点：

　　1) 交付形态：目前SOC产品有多种交付形态，常见的交付形态是客户购买服务器、操作系统、数据库，SOC厂商负责安装SOC软件，最终SOC产品寄存于客户的服务器上。

　　2) 维护成本：SOC是一种重服务的产品，购买SOC一定要计算维护成本。

　　3) 运维能力：由于SOC产品的高度复杂性，使得很多客户不得不选择专业的第三方公司来帮助其运维SOC产品。这种方式有其合理性，但是弊端也是显而易见的，首先是维护成本的大幅攀升，其次客户的业务逻辑和SOC产品之间的联系被第三方公司割裂了，操作SOC的人员并不真正懂得客户的业务，SOC和客户的业务并没有真正融合在一起。

　　2、产品功能选型方面的建议

　　企业当选择真正实现其产品设计目标的产品。所有SOC产品都有如下两个核心设计目标：

　　1) 即时获得有意义的情报：这里涉及两个重要的概念：数据和情报。SOC收集数据并产生情报，或者说将数据输入SOC，SOC会输出情报。客户关心的不是数据而是情报。情报只在即时获得的情况下才有价值。

　　目前SOC产品在输出情报这个环节有严重的技术瓶颈，陈旧的技术架构使得客户获取所需情报需要花费大量的时间，最终产生的情报因时间滞后而毫无意义。

　　另外有一种情报输出可能不需要很高的即时性，但是也对效率有要求，当效率太低时，客户不得不在效率和情报之间做出妥协，放弃自己想获得的情报。比如客户想分析本月的数据流量和前5个月的数据流量的差异。由于此分析涉及海量计算，使得最终结果可能需要若干天才能输出。面对如此漫长的等待，很多客户都放弃了进行此种分析。

　　2) 拥有一个智能调查平台：SOC里存储的是事件，但是事件本身并不能提供足够多的上下文信息以识别现在愈来愈高级的威胁。为了应对这些威胁，SOC产品本身必须有强大的整合能力以丰富这些事件，为我们提供一个智能调查平台，具体来讲，需要如下整合：

　　a. 纵向整合：目前有些SOC产品并不是由居于领导地位的安全厂商提供的，这些产品就会缺乏相应的纵向整合的能力。

　　b. 横向整合：SOC厂商不仅要兼容自己的产品，还能兼容其他厂商的产品，从而对数据进行丰富，从而达到内容识别，动态上下文感知，情势感知。

　　3、产品前瞻性选型方面的建议

　　企业应当选择具有前瞻性的SOC产品，具体来讲，包含以下几点：

　　1) 产品架构应满足BDA的需求：为满足BDA的需求，必须对SOC的架构进行改变。依赖传统事务型关系数据库的产品，目前还无法满足BDA的需求。

　　2) 产品可与云信息进行整合：当我们对事件信息进行丰富时，即进行横向整合和纵向整合时，最具震撼力的整合即与云信息的整合。无法与云信息整合的SOC已经满足不了时代的需求。

　　3) 产品当有一批顶尖安全专家支撑：真正对SOC中的信息进行分析的不是程序，而是专家的经验。SOC想获得强大的分析能力，必须要有顶尖专家支撑。

　　SOC市场发展趋势展望

　　最后，谈及未来SOC市场的发展趋势，胡江波讲到，SOC市场未来会分成中小企业和大企业两个市场进行发展。随着安全意识的觉醒，中小企业也会成为SOC产品的积极使用者。专门为此类客户优化和定制的产品将不断推出，基于云的SOC解决方案也会成为一个热点。

　　大企业市场则是进入了一个SOC产品的更换期。经过一段时间的使用，大企业对SOC有了深入的认识，同时也更清楚的认识到自己的需求是原来SOC无法满足的。在自身需求和BDA的推动下，大企业开始更换SOC，这些变化会为SOC市场的创新者和领导者带来机遇。

　　随着SOC市场的发展，市场将逐渐向几个主要的SOC厂商集中。在这场竞争中被边缘化的SOC产品会在市场上逐渐消亡。