如今，安全运营中心 (SOC) 不堪重负。分析师每天要处理数千条警报，耗费大量时间追踪误报并被动地调整检测规则。SOC 往往缺乏必要的环境信息和相关的威胁情报，无法快速验证哪些警报是真正的恶意警报。因此，分析师花费大量时间手动对警报进行分类，而其中大部分最终都被判定为良性警报。

解决这些盲点和警报疲劳的根本原因并非简单地部署更精确的工具就能解决。许多传统工具虽然非常精确，但它们的致命缺陷在于缺乏上下文信息和关注点过于狭窄——只见树木不见森林。与此同时，老练的攻击者会利用传统被动式工具无法发现的漏洞，并且常常使用广泛流传的绕过工具包来逃避检测。

尽管这些工具本身都有效，但它们常常失效，因为攻击者在入侵环境时，并非只采用一种攻击技术、利用一种类型的漏洞或将单个 CVE 武器化。相反，攻击者会将多个漏洞串联起来，在必要时利用已知的 CVE，并采用规避技术在环境中横向移动，最终达成其目标。传统的安全工具或许能够检测到其中一个或多个漏洞或 IoC，但如果没有深度集成的持续暴露管理程序提供的上下文信息，安全团队几乎不可能有效地关联看似无关的信号。

01

安全运营在网络安全生命周期的每个阶段都能带来益处

风险管理平台能够将风险情报直接融入现有分析师的工作流程，从而助力安全运营中心 (SOC) 的转型。当然，掌握攻击面信息并深入了解相互关联的风险敞口具有巨大的价值，但这仅仅是冰山一角。考虑到各团队运行的高级模型存在显著的重叠（尽管通常是并行运行而非协同工作），这一点其实并不令人意外。

为了进一步说明这一点，我在下面列出了典型的 SOC 工作流程和 CTEM 生命周期之间的比较：

主动团队和被动团队的高级工作流程之间的这种自然一致性，使得人们很容易看出，从暴露管理平台获得的针对性威胁和攻击面情报，在威胁调查之前和期间可以为 SOC 团队提供帮助。

当团队将风险暴露管理平台与 EDR、SIEM 和 SOAR 工具集成，从而在 SOC 分析师最需要的时间和地点精准提供情境化威胁情报时，真正的奇迹就开始发生了。这使得团队能够自动将发现的风险暴露与特定的 MITRE ATT&CK 技术关联起来，从而创建与每个组织独特的攻击面直接相关的可操作威胁情报。

对于无法立即修复的漏洞，团队可以利用这些信息来指导检测工程和威胁搜寻活动。这形成了一个持续的反馈循环：漏洞信息能够更新检测方法，改进警报分类和调查，并支持自动化响应和优先级修复。

02

深入剖析融合了暴露情报的 SOC 工作流程

传统检测工具基于特征码和行为模式生成警报，但缺乏环境上下文信息。持续暴露管理通过提供每个警报所涉及的系统、配置和漏洞的实时上下文信息，改变了这一现状。

1.当检测到安全漏洞时，SOC 分析人员可以立即了解受影响系统上存在哪些风险，在当前配置下哪些攻击技术是可行的，潜在的爆炸半径是多少，以及此警报如何融入已知的攻击路径。

2.当分析人员能够即时评估每个警报的真实风险时，警报分级处理效率将显著提高。风险敞口管理提供的是特定环境的风险背景，而非基于通用严重性评分进行分级处理。

3.在调查过程中，持续的暴露管理能够为分析人员提供详细的攻击路径分析，准确展示攻击者如何利用当前警报发起更广泛的攻击活动。这包括基于实际网络拓扑、访问关系和系统配置，了解所有可行的攻击路径。

4.它还包括深入挖掘漏洞的根本原因，帮助分析师确定攻击者最有可能的入侵点和路径。

5.在暴露情报的指导下，响应活动会更加精准。安全运营中心 (SOC) 团队可以采取针对特定漏洞的精准响应，而不是采取可能扰乱业务运营的大范围遏制措施。

6.补救阶段不仅限于即时事件响应，还包括系统性的风险敞口降低，系统会自动生成工单，不仅针对当前事件，还针对导致事件发生的根本原因。补救活动完成后，可以使用与发现安全漏洞相同的测试流程来验证已实施的变更是否真正有效，风险是否已降低。

通过将持续暴露管理集成到安全运营工作流程中，每次事件都成为一次学习机会，从而增强未来的检测和响应能力。了解哪些暴露导致了红队演练和验证测试期间的攻击成功，有助于改进和实施补偿控制措施，通过调整检测规则，以便在攻击链的早期阶段捕获类似活动。

03

SOC运营的未来

安全运营中心 (SOC) 的未来不在于更快地处理更多警报，而在于预防产生不必要警报的情况，同时针对最重要的威胁开发精准的应对能力。持续的暴露管理能够提供环境感知能力，从而将通用安全工具转变为精准的检测工具。

在威胁行为者日益复杂且持续不断的时代，安全运营中心（SOC）需要竭尽所能地获取优势。主动塑造战场环境、消除漏洞、优化检测机制并根据实际环境开发定制化能力，或许是能否始终领先于威胁还是疲于应对的关键所在。