在AI浪潮下傳統SOC的侷限性

在AI浪潮下，早期傳統SOC（Security Operation Center，資訊安全監控中心）依賴SIEM系統（Security Information and Event Management，安全資訊與事件管理）進行事件和警報的即時監控、日誌和事件的分析等，進行告警與報表生成等工作，以協助SOC識別和解析潛在的安全事件。然而，當面對公有雲服務商， 如Azure、GCP、AWS等，快速變化的系統功能以及開放原始碼軟體的多樣性，傳統的SOC聚焦在日誌監控和解析方式，想要防禦多元變化的網路攻擊，必須重新調整監控設定與方式。為了不斷追趕這些變化，機動修改日誌監控的即時性及完整性，對SOC的監控營運將是一大挑戰，因為一旦資安事件的監控與威脅無法即時處理，對企業將帶來極大的營運風險。

更具體地說，許多公有雲業者常自行佈建SaaS SIEM，採用自行開發的系統平台，大量使用開源軟體，並能夠靈活調整服務內容。因此，對於傳統地端SOC服務廠商而言，他們需要不斷提升對雲端環境的了解和管理能力，以跟上技術層面的變化。

何謂Cloud SOC（雲端資訊安全監控） ?

Cloud SOC指的是使用雲服務原生平台發展的Cloud Native SIEM產品，將完整的SOC監控機制建立在雲端上。這種解決方案能保障企業在雲端的資料安全。近年來，一些SIEM產品開始從雲服務原生平台發展，雲端原生 SIEM，將提供企業方便使用且安全的解決方案。

以微軟的Azure Sentinel SIEM為例，它能夠對各種Azure原生軟體服務和第三方資訊安全防護方案保持日誌整合的相容性，確保日誌解析和分析的完整性與一致性。這是傳統SOC與其他服務商目前無法完全達到的。

雲地混合監控機制將成主流新趨勢

隨著企業上雲比率的增加以及SOC資訊安全監控中心平台的普及化，雲地混合監控的趨勢將成為主流。近年來，最引人注目的發展趨勢之一，就是雲地混合的關聯分析監控。宏碁雲架構(Acer eDC)自2021年開始著手發展Cloud SOC，將微軟Sentinel Native SIEM和微軟Defender XDR作為雙平台核心，跨足雲端，同時建立混合型雲地監控中心互相回饋的循環機制。

宏碁雲架構對雲端原生SIEM平台的使用持有樂觀態度，因為無論雲端環境後端如何變動，原生架構自然就能相容並支持，對SOC維運的衝擊較小。即使處於多雲環境，我們也看好微軟在整合能力方面的優勢，相對於其他供應商更為完整。

Cloud SOC 邁入自動化主動式防禦機制

近20年來從SOC在各階段型態發展轉變過程，看出早期的SOC使用的平台主要依賴防毒軟體、網路防火牆、入侵偵測／防禦系統（IDS/IPS），以及網站應用防火牆（WAF）等產品與服務，屬於被動式的監控能力，主要集中在日誌收集和稽核，處理病毒警報、偵測入侵與回應事件。

因應網路威脅攻擊防護技術不斷提升，伴隨雲端大數據處理技術的成熟，(許多新興的解決方案崛起。例如網路威脅情資、端點偵測與應變系統（EDR/MDR），甚至於延伸式威脅偵測與應變系統（XDR），以及安全協作自動化與回應系統（SOAR）等。這些解決方案強化了與SOC平台或服務進行協作與整合，因此，促使Cloud SOC朝向自動化主動式的監控與防護。

人工智慧(AI)助手將是Cloud SOC技術發展的下一步

確實，AI助手運用自然語言處理（NLP）技術在資訊安全領域的應用也快速成長，尤其對於Cloud SOC的技術發展具有潛在的影響力。以下是支援自然語言的AI 助手可能對Cloud SOC帶來幾個影響：

• 智慧監控與警報管理：AI 助手可以幫助自動分析大量的監控數據和事件警報，並進行即時的威脅檢測和識別。這樣可以大幅減輕SOC人員的工作負擔，快速發現潛在的安全威脅。
• 自動化事件響應：AI 助手可以根據事先設定的策略和指引，自動執行應對措施，例如封鎖受威脅的設備或系統，減少對SOC人員的依賴性，提高應對速度和效率。 智慧安全分析與報告：AI 助手可以通過自然語言處理技術，將複雜的安全事件和趨勢轉化為易於理解的報告和可視化圖表，幫助管理層和決策者快速地理解安全風險和挑戰。
• 全面的安全問題解決方案：AI 助手可以整合多個安全解決方案，包括威脅情報收集、風險評估、事件監控、漏洞管理等，形成一個全面的安全問題解決方案，提供更強韌的安全防護和威脅應對能力。
  
  

總的來說，自然語言處技術不斷改變，新技術的開發使AI 助手功能更加完善，此一創新技術將使Cloud SOC更加智能化、自動化，提高資訊安全監控與威脅應對的效率和效能，是未來Cloud SOC技術發展的重要方向之一。