SANS 2022年SOC调查报告解读
2022-6-1 08:39:42 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏
2022年5月下旬,SANS发布了2022年度的SOC调查报告。

本次报告有效调研样本为519份,其中50%的受访者所在单位员工人数小于1000人。除了面向传统的北美和欧洲地区,这次报告更加注重国际化,还特别推出了西语和葡语版的问卷,大幅增加了对拉美地区的调研,并打算将来推出更多的语种,以更加国际化。有趣的是,尽管样本空间构成比重发生了变化,但总的调研结果与去年的基本保持了延续性。
这次的报告,SANS更新了SOC的定义,试图更好地反映这个领域的演变。笔者观察,这里所谓的演变,核心就在于:SOC的场所概念越来越淡化、虚拟化,人员也可以是分散的、远程的,能力建设越来越外向(外采服务)
SOC是一组能力和拥有SOC的组织如何运用这些能力的集合。这些能力是一套基于过程的,组织业务需求或使命声明驱动的相关服务。
注:这里的SOC是真正意义上的安全运营中心,而非支撑SOC的核心技术平台(通常叫做安全管理平台或者SOC平台)。
SOC格局
1)47%的受访者表示自建SOC是组织强制要求的。
2)53%的SOC是单一的、集中式的部署模式,19%的SOC是多个的、层级式部署。
3)展望未来12个月,集中式的单一SOC将继续增长,同时基于云的SOC服务将大幅增加,而不成熟的非正式的SOC数量将继续下降。
对比2021年的相同问题的调研(如下图所示):
可以发现,转向云SOC服务是最大的趋势。而笔者估计由于样本覆盖扩大(增加了非欧美单位)的原因,传统SOC仍然在增加。这进一步说明:
(1)云SOC是未来大势所趋,并且是近在眼前,至少对于发达的欧美国家是如此。因此SANS倾向于用能力而非场所来指代SOC。反观中国,可能还比较遥远。
(2)传统的SOC建设依然是大头,且还会增长。这比较能够反映中国市场的现状。
SOC面临的最大挑战
与去年的调研结论不同,去年排名第五的“人员高要求”跃居第一,上次的第一和第二变成了第二(缺乏训练有素的人员)和第三(缺乏自动化与编排)
笔者看来,人员要求高和人手不足是紧密相连的。而人员岗位职责要求高比人手不足更可怕,因为高要求意味着人手更难以补足。另一方面,岗位要求高也说明安全运营的难度大,复杂性高。我们一方面要设法加大适岗人才的培养和供给,另一方面还要设法降低运营的难度。而这就需要技控,安全自动化是一个关键选项。
SOC的五大成功因素
在今年的报告中,SANS试图给出五个关键因素,帮助SOC用户切实提升自身的运营水平。
1)你组织的安全运营发展趋势是否在正确的方向上?
调研表明,越来越多的组织表示通过SOC运营,遭受的入侵和安全事件呈下降趋势,并且安全事件造成的损害也在下降。
2)你组织的SOC人员是否跟上了SOC业务的发展?
调研表明,组织的SOC人员数量典型的在2~10人之间,同时人员流动率依然较高,典型的人员在职时间在1~3年间,较短,因此留住人才十分关键
3)你组织的SOC能力是否满足业务需要?
报告建议SOC用户对比调研中涉及到的SOC能力清单和优先级,看看自己的SOC能力建设是否跟相似组织的SOC能力匹配。重要的能力包括:检测/监测、漏洞评估、事件响应、告警分诊与升级,以及平衡自建和外包资源的能力。
4)你组织的SOC技术发挥价值了吗?
SOC用户可以将自身SOC技术的价值评估与调研报告中的的结果进行对比,看看哪些技术的应用水平需要提升。
5)你组织的SOC度量指标是否真实反映出你SOC投资的有效性?
SOC人员调研
1)2~10人是大部分规模下的组织中SOC团队的典型数量
2)正如人才是SOC面临的最大挑战,SOC人员的流失率居高不下。
上图表明,工作1到3年的人员占比最高。而SOC岗位的高要求和人员短缺的现实都表明需要尽量留住员工,以应对这些挑战。因为留住员工的总投入可能比招聘并培养一个适岗人员低得多
3)留住员工最有效的方法是职业发展而不是钱。

要留住人才,钱是必不可少的,但清晰的员工职业发展规划也是不可或缺的。尤其是大部分SOC团队本来就缺人的厉害,大家工作强度都十分高。如果没有匹配的薪资和职业发展前景,干1到3年就走人十分正常。而职业发展前景又跟SOC的投入有关,如果总是缺少资金,必然导致无法采购更多的生产力工具、培训经费不足,人就会更多陷入重复性无趣劳动中而出现运营疲劳,如果又看不到上升空间,必然萌生离职的念头。

4)远程办公成为常态。主要是在欧美地区,由于疫情的原因,SOC人员需要远程办公,并且大部分都实现了远程办公。这也意味着SOC的技术架构和管理制度都要适应远程办公的需要。譬如如何实现安全的远程办公成为一个重要技术考量,这里的安全不仅指安全接入,更重要的是敏感信息保护。

SOC能力(流程)调研

下表列举了受访者认为SOC最应该干的事情(即能力,也可以看作是流程):

可以看到,不论是自建还是外包,最重要的前4个能力是:安全监测与监控(去年排第三)、告警分诊与升级、事件响应(去年排第一)、漏洞评估(去年排第五)。而以上除了“其它”之外的能力,都应该是SOC要具备的。正如前面SANS用能力来定义SOC,上表就是那些能力。也正如前面SANS对SOC的定义所述,能力外化为基于过程(流程)的服务
同时,上表还展示了哪些能力更多采用纯外包方式获得。渗透测试、红队、紫队(注:国内大部分人对紫队的理解跟国际上的定义是很不一样的)、威胁情报(生产)、威胁情报(溯源)、数字取证位居前列,与去年大体相当。
反过来看,安全规划、安全管控、数据保护、安全架构与工程、合规支持、事件响应、修复、告警分诊与升级、SOC架构与工程、安全工具配置集成与部署、安全监测与检测则更多采用自建方式。
SOC技术调研
1)SOC技术应用情况
下表是4类SOC技术(主机、日志、网络、分析)的应用情况的分类统计表。与去年的统计表相比,今年在分析类中多了一个SOAR技术。

可以从很多维度进行分析。笔者发现,机器学习和AI(42)、电子取证(40)、欺骗技术如蜜罐(39)、SOAR(37)、恶意代码引爆/消除设备(36)、TIP(33)、全包捕获(30)位居计划采购部署的技术前列。同时这些技术当前的部署规模也相对较小。

在已经全面部署的技术中,VPN(55.6%)、NGFW、SWG/SEG、DNS防火墙、IDPS、网络隔离、标准化SIEM(45%)、主机持续监测与评估的部署率相对较高。

2)SOC技术满意度评分

SANS今年依然统计了各项技术的满意度,但采用了与去年不同的算法。今年采用了类似GPA的评分方法,为每项技术给出ABCDF五个等级,分别对应4、3、2、1、0分,然后根据得票计算最终得分。结果显示,VPN(3.11分)、标准SIEM(3.08分)、端点日志分析等成熟技术的满意度得分最高(大于3分,满分是4分)。相反,全包捕获、资产发现与清单、流分析、SOAR得分垫底(都是2.61分)。如果3分算作满意的话,那么仅有3个技术达标。可见,技术满意度普遍都不高。如果2.4分算及格的话,那么所有技术都合格。

如果单看F评分,获得F最多的三个技术是:恶意代码引爆/消除技术、欺骗技术、AI与ML技术。

注意,有些技术满意度相对较低,不见得是坏事,说明这些技术市场存在很大的机会。

3)SOC监测活动的内容

下图显示了受访者认为SOC监测活动应该包括的内容:

可以看到,大部分人将检测作为监测的一部分。同时,还有人认为响应支撑也是监测的一部分。

笔者认为,如果把监测作为一个活动域的话,它跟响应活动域是分开的。但对于一个监测团队而言,如果仅仅行使监测活动,并将监测结果中需要响应的事件给到响应团队去处置的话,未免过于单纯了。监测团队可以行使部分力所能及的响应活动,而没有必要划分的那么死板。
4)事件关联的首要技术

现在,技术越来越多,越来越复杂。人们在谈论关联分析的时候,可能完全指的不是一个东西,很多技术中都会用到关联分析。下图表明,在目前SOC的事件关联方面,SIEM是首选技术

当然,这并不是说SOAR和XDR等的关联分析就没有用,而是要用对场合。

5)对非传统设施(OT设施、移动互联网、物联网等)的支持

下图表明,接近一半(48%)的受访者表示他们的SOC部分或者全部支持这些智能设备。

进一步分析,报告还发现,32%的SOC是将这些智能设备管理与IT设施的管理混在一起,统一管理与运营。而更多的SOC则或多或少地将IT安全运营与OT等非传统设施的安全运营分开了,有的是完全分开,有的是两套系统一套人马。SANS认为,未来逻辑上分开是趋势。如下图所示。

6)SOC和IT运营的关系

诸如SOC和NOC的关系问题,总是很多人关心的问题,尤其是对那些运营成熟度高的组织和国家而言。

SANS的调研表明,整体上二者是密切协作的关系。具体如何协作有深有浅。笔者认为,二者之间必须有机协同,到什么程度跟自身运营管理机制和运营成熟度相关,不必拔苗助长。

SOC投资和回报调研

1)预算规模分析
如下图所示:

30%的受访者不知道自己单位的SOC总体预算。同时可以发现,48%受访者的SOC年预算少于100万美元。之前谈到过本次调研有50%的受访者所在单位员工人数小于1000人。那么可以估算一下,近一半的受访者平均每员工的年SOC开销小于1000美元。

笔者无法估测这个数据意味着什么,但这个指标给大家一个很好的启发。就是在评估SOC投资的时候,要看这个单位的员工数,要分析平均每员工的SOC年投资金额。因为现在SOC保护的不是少量核心资产或者核心人员,而是整个网络,网络中的每个员工。人数越多,通常网络规模就越大。

笔者不知道国内的每员工SOC年投入是多少,平均值是多少,但建议SOC负责人可以自己算一算。
2)预算和指标的关系

如下图所示:

SANS发现,预算编制过程越正规,期间建立的指标就越完善,这为后续的考核奠定了基础,也便于大家公平地评价SOC的建设成效,计算投资回报。

3)建设成效度量

首先,大部分受访者都建立了SOC度量指标,对这些指标的满意度也比较高。

其次,报告给出了2个建议性指标:每失陷记录的成本(cost-per-record),有SOC的事件数与没有SOC的事件数之比(incident with a SOC vs. incident without a SOC)。

笔者感觉这两个指标很难计算。如果能够拿出一个计算公式,那么更适合某个单位进行基于时间的纵向对比分析,而不太适合跟其它单位横向比较,因为不同单位之间的差异可能会很大。

小结
SANS的报告告诉我们,要建设和运营好一个SOC,必须从人员、能力(流程)和技术三个维度考虑,并统筹到预算和考核指标之下。
我们之前很喜欢用PPT来表示SOC建设和运营的三要素(人员、流程、技术)。通过SANS的调研,我们其实可以再加一个关键要素:投资(Investing)。投资包括资金预算、考核指标。投资约束了PPT所能容忍的底线,和所能达到的最大边界。
【参考】
SANS 2021年SOC调查报告解读
SANS:2021年自动化与集成调查报告
SANS:2020年自动化与集成调查报告
SANS:2019年自动化与集成调查报告

文章来源: https://mp.weixin.qq.com/s?__biz=MzUyNzMxOTAwMw==&mid=2247484450&idx=1&sn=27c3c6e51febebd4ed1a13fa2f85307d&chksm=fa002e96cd77a780251bdec3b12e2fbea2e013d19495d01c33b7aaac9323cbabe4274077e999&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh