企业在安全运营中心和最先进的检测技术上投入了数百万美元，但违规行为仍持续发生且达到了前所未有的水平。核心问题是，由于SOC分析师疲于处理大量阻碍其行动的警报或参与规则，导致响应效率低下。

据观察，仅有约5%的SOC能够有效检测并响应当今复杂的基于身份的攻击。这并非单纯的技术问题，而是一个根本性的方法体系问题。我们应承认当前SOC的运营方法开始变得失效。在探讨如何修复SOC之前，我们将首先深入剖析其面临的七个核心挑战。

尽管多年来已围绕身份和访问管理构建了复杂的防御体系，黑客却找到了终极捷径：直接诱骗用户交出凭证。不妨这样比喻，偷车时，与其耗费数小时破解防盗系统，不如直接向车主索要钥匙，这正是当前网络安全领域的现状。

人工智能的进步增强了社会工程攻击，攻击者能制造出令人难以置信的逼真骗局，从而绕过价值数百万美元的模拟防御。他们利用的是一个无法通过补丁修复的漏洞-人类行为本身，绕过价值数百万美元的安全架构。例如，某大型组织中仍有近100个账户使用类似“ABC123”的简单密码。

当暗网上充斥着数据泄露信息，且人工智能能轻易拼凑个人信息以发动精准攻击时，此类弱点便成了巨大的安全漏洞。要应对这些攻击途径，我们亟需全新的人工智能安全方法。

企业常陷入一种误区，认为强大的身份和访问管理等同于安全性。虽然MFA令牌、单点登录系统和身份治理平台营造了保护感，但当攻击者成功冒充合法用户时，这些昂贵的控制措施便形同虚设。

然而，威胁远不止于社会工程。基于浏览器的攻击和会话劫持，如Cookie盗窃是绕过传统身份验证的另一严重途径。

问题的核心在于，现有系统验证的是账户凭证，而非使用者本人。一旦攻击者通过社会工程窃取身份，他们往往能在正常操作参数内长时间活动而不被发现。例如，假设某用户通常在周一至周三上午9点登录，浏览新闻、查阅邮件，行为模式可预测。但若其在周四突然访问从未用过的第三方SaaS应用，周五又恢复浏览新闻的常规操作，那么周四的异常本应极其醒目。遗憾的是，多数SOC缺乏行为分析能力，难以捕捉这种细微偏差。

走进企业的安全运营中心，你会发现大量工具：漏洞扫描器、EDR、SIEM系统、AI威胁检测解决方案。然而，尽管拥有这样的技术武器库，其基础安全卫生状况仍然堪忧。

许多拥有数百万美元安全预算的组织，依然缺乏基本的资产清单、统一的密码策略或全面的补丁管理。他们配备了各种扫描工具和监控平台，却对自己实际要保护的对象缺乏清晰的认知。

问题并不在于工具本身，而在于部署方式如同大杂烩、系统间缺乏集成以及持续的调整与优化机制缺失。我们正在一场复杂的安全博弈中角力，却连防止违规的基本要素都未能夯实。

更令人担忧的是，传统的漏洞管理程序忽略了一个关键风险：配置错误。

在系统有机增长、所有者各异、遗留环境与影子SaaS集成并存的大型企业中，错误配置几乎不可避免。然而，没有漏洞扫描器会标记跨域配置不一致的身份系统、访问策略过于宽松的云服务，或是绕过了安全控制策略的网络分段。

这些配置缺陷往往为攻击者提供关键机会，一旦他们通过泄露的凭据获得初始访问权限，便能利用这些缺陷进行横向移动。遗憾的是，大多数企业缺乏系统性的方法来识别和修复这类架构性弱点。

内部SOC：有情境无容量

理想的内部SOC应由熟悉组织环境、系统及业务流程的人员构成，他们深知关键资产所在、了解正常用户行为模式，并能基于风险承受力做出明智决策。

然而，内部SOC面临严峻的容量限制，企业难以配备合格分析师实现7×24小时运营，财务压力也使得高昂的管理成本难以合理化——尤其在供应商承诺以更低成本提供同等覆盖时。

外部SOC：有覆盖无情境

外部SOC虽能提供全天候监控与专业知识，却缺乏使检测有效的组织上下文，他们不了解您的业务流程，难以区分合法与可疑活动，且通常缺乏果断行动的授权。他们识别了指标，却因顾虑干扰业务而犹豫不决。

混合模式：协调复杂性

混合SOC试图融合内部背景与外部覆盖，却常在权责划分与协调层面引发新问题。当内外团队共担职责时，关键决策可能在宝贵的响应窗口期悬而未决，最终影响对违规行为的遏制效果。

大量违规事件表明，对预防的专注已然失败。攻击造成的损害时长与严重性，取决于你是否备好了有效检测、响应与恢复的‘降落伞’。

现实是，攻击者深知需在被检测前快速得手，他们的行动窗口正急剧缩短，攻击路径效率不断提升，驻留时间却在延长。

然而，许多SOC却需耗费数小时乃至数日来调查需要即时行动的警报。这一挑战本质上是心理与组织层面的，SOC因惧怕“狼来了”（误报会侵蚀信任并加剧警报疲劳）而趋于保守，结果往往错失了可能阻止全面沦陷的微妙早期迹象。

当今CISO面临的最大挑战之一并非技术，而是能力被行政事务挤占。许多安全领导者深陷于供应商管理、合同续签和董事会报告，以至于无暇解决基础安全问题。这种巨额的管理开销，恰恰是组织在安全预算中极少考量的巨大隐性成本。

我们必须停止相信仅凭更大的预算、更多的工具和更多的人手就能实现安全。

1、优先夯实基础安全。在投资高级威胁检测之前，确保基础安全卫生落实到位。完善的资产清单、统一的密码策略、全面的补丁管理及恰当的访问控制，共同构成高级检测发挥效用的基石。

2、将测试融入日常运营。每次渗透测试都应作为SOC的培训演练；每次红队行动都需切实检验检测与响应流程的有效性。使安全测试成为提升运营能力的协作实践。

3、推行持续验证机制。超越年度安全评估，持续验证安全控制措施。定期通过小型、真实的场景测试SOC的检测能力。营造一种文化：从模拟攻击中学习比追求完美的性能指标更为重要。

4、构建具备上下文感知的检测能力。投资于行为分析，理解组织特有的行为模式。用户活动监控应超越简单阈值告警，以识别那些暗示入侵的细微行为偏差。

5、明确响应行动授权。精确定义SOC（无论内部或外部）必须采取行动的权限。清晰记录这些权力，并确保所有利益相关方知晓其行使的时机与方式。

参考链接：

https://www.csoonline.com/article/4035333/7-reasons-the-soc-is-in-crisis-and-5-steps-to-fix-it.html