研究数据表明，安全运营中心（SOC）可以显著推动企业的网络安全计划，这使SOC成为有效企业网络安全计划的基石。从平均总控制时间来看，非常成功的网络安全企业与不那么成功的网络安全企业相比，部署SOC的可能性高52%。

实际上，仅部署SOC就可将企业控制数据泄露事故的平均时间缩短近一半。

但是，在评估安全运营中心的最佳做法方面，细节决定成败：网络安全专家应该外包SOC功能还是内部开发？而且，如果他们选择外包，选择标准应该是什么？

外包的答案很大程度上取决于企业的规模及其管理SOC的方法。Nemertes Research发现，对于拥有内部管理的SOC的大型组织（拥有2500多名员工），平均总控制时间得以改善50%，而那些将其SOC外包的公司发现，他们平均控制的总时间降低58%。对于规模较小的组织（少于2500名员工），则遇到了完全相反的情况：使用外部管理的SOC的平均时间改进50%，使用自己内部的SOC的平均时间降低50%。

为什么较小型公司可从外包中受益

这个结果是合乎逻辑的。为确保全天候SOC，至少需要四到八名全职员工-每八小时轮班一名，再加上一名经理和一名后备人员。对于很多中小企业来说，这是沉重的负担。SOC分析人员必须经过培训，他们需要职业发展道路。此外，SOC分析师的倦怠是一个现实的问题-较小的公司可能缺乏应对资源。

尽管如此，决定外包只是第一步。Nemertes Research已定义企业在评估SOC提供商并确保安全运营中心最佳实践时，应使用的五个关键选择标准。

1. 运营模式。SOC提供商是主要集中于事件通知，还是在团队扩展模式下工作并主动采取措施来响应事件？这里没有正确的答案，但是这种响应会影响企业的网络安全团队的结构。如果SOC团队仅将事件通知企业，则其内部网络安全团队需要培训、工具和流程，以评估事件并采取适当行动，这通常描述在SOC运行手册中—由IT开发的一套已定义的程序用于维护日常工作。

2. SOC运行手册本身。无论由谁执行（内部团队还是SOC提供商），运行手册如何开发？ SOC提供商是否有标准化运行手册，可为每个客户量身定制，还是客户应计划进行开发？

3. SOC提供商提供的服务组合。在第一、第二和第三级支持方面，提供商提供什么服务？ SOC提供商是否提供主动或反应式服务，例如威胁搜寻、渗透测试或红色或紫色的团队练习？反应式服务是SOC提供商的重点。主动服务可使客户减少对其他提供商的依赖，或帮助显著加强其安全态势。

4. SOC提供商依赖的工具和技术集。工具通常会破坏交易，特别是在企业需求与SOC提供商提供的内容不匹配的情况下。请务必提出以下问题：

• 提供商将使用客户的工具，还是自己的工具？
• 谁拥有工具和软件的许可？所有权和许可问题可能会增加SOC的成本和复杂性。
• SOC提供商如何处理与客户工具环境的集成？

5. 如何终止关系？通常，由于终止关系的复杂性和成本，客户被锁定在供应商。避免这种情况的最好方法是预先了解流程。

总结来看，较小型公司几乎肯定应该利用SOC服务。他们应该对提供商进行全面评估，重点是了解其运营模型，包括运行手册的开发；服务组合；工具和技术；和终止程序。通过适当注意这些安全运营中心的最佳做法标准，较小的公司可以显着改善其网络安全运营指标。