调查:内部分工问题是SOC效率的头号杀手

安全运营中心的重要性(SOC)毋庸置疑,但很多SOC的效率却很低。

在外部人士看来,安全运营中心(SOC)蓬勃发展,欣欣向荣;但以内部人士的视角,SOC问题多多,令人担忧。一方面,72%的公司认为SOC是安全策略的关键部分;但另一方面,60%的SOC员工由于压力而考虑过转行,65%的SOC员工声称攻击界面可见性有限。

Devo公司委托波耐蒙研究所(Ponemon)对600位从事IT和安全工作的专业人员进行了一项调查,旨在更好地了解SOC效率高低背后的原因。总的说来,“争地盘”是SOC效率低下的主要原因——SOC职责范围不明确。Devo报告称:“64%的受访者认为,围绕谁该负责什么的内部争夺,是SOC成功的巨大阻碍。而在2019年,有这种想法的受访者占比还只是57%。”

坦白讲,SOC效率在很多方面还是在缓步前进的,但真的非常缓慢。报告指出:“认为自家SOC在证据收集、事件调查和威胁源确定方面非常高效的受访者增加了8%。”虽然这听起来似乎前途光明,但改善幅度仅从42%增至50%,这意味着一半的受访者仍然认为SOC表现不佳。

接受《安全周刊》采访时,Devo网络安全总经理朱利安·韦茨(Julian Waits)称:“大多数SOC和安全项目失败的真实原因,是因为他们从来没有真正作为一个团队来执行业务影响分析。谈到自己的安全项目,这些公司的关键词从来都是技术、技术、技术。他们也谈及一点点过程,但由始至终都不提为什么要做这些安全项目。这就是问题所在了。如果你是零售商,最重要的事包括销售终端、个人信息等等。你应该列出自己所有的风险考虑,然后才是挑选技术,保护这些对业务最为重要的东西。没做好业务影响分析,那就只会是各自为战,一团混乱。”

他补充道:“CISO正迅速适应对业务敏锐性的职责要求,但整个安全团队,包括SOC团队,都应像CISO一样增加对业务的了解。SOC团队本质上是问题清道夫,他们的工作就是解决问题。因此,他们要查找可能有害的CVE或其他潜在恶意事件,但找到之后,还得应用到业务意义上才有用。通常情况下,不仅仅是安全项目,参与安全项目的所有人都应该牢记这一点。这是成熟安全项目正确运营的基础。设置安全项目不仅仅是为了保护具体事物,而是要确保业务能正常运营。”

缺乏凝聚力所造成的“混乱”,会影响SOC工作人员。78%的受访者认为工作非常痛苦,75%认为工作量增加是造成员工倦怠的首要原因,53%称“复杂和混乱”是主要痛点。以上每个数据都比去年有所上升。还值得注意的是,该调查涵盖了COVID-19之前的时期。“现在问题的恶化程度呈指数级上升,因为他们还是一个挨一个地坐在SOC机房里盯着各自的大屏幕。”

而在未来,这一问题似乎还会继续恶化。新冠病毒爆发之前,68%的受访者抱怨需要跟踪调查的警报太多,而67%的受访者不堪信息过载的重负。新冠病毒爆发之后,在家办公的人越来越多,且目测疫情结束之后这种办公模式也不会完全消失。这就引入了一大堆全新的威胁和攻击渠道,SOC团队现在不得不开始忧虑人们的家庭电脑上会运行着哪些此前从未见过的东西。

SOC在数字取证中的作用主要局限于已知受保护环境中的设备。而在未来,团队还需调查甚至不属于公司的远程未受保护设备。他们需要能够鉴别安全事件、对公司有影响的事件和跟公司没关系的事件。

尽管如此,SOC的表现总是有好有差,这份调查报告就是要找出高效和低效SOC的区分因素。在有效性方面高效SOC得分为满分10分中的7分及以上。有三个方面尤为突出。73%的成功SOC完全或部分符合业务需求(只有37%的低效SOC可以这么说)。44%的高效SOC对公司整体安全战略“至关重要”(只有18%的低效SOC处于此位置)。67%的高效SOC有明确的员工培训和保留计划(相比之下,只有31%的低效SOC有此类计划)。

高效SOC仍可改进。78%的受访者呼吁提高IT安全基础设施的可见性;65%要求解决IT运营团队和SOC团队之间的地盘争夺或孤岛问题;49%的受访者希望看到隐私和数据保护合规得到改善。最大的痛点是威胁情报管理(60%)、恶意软件防护(57%)、响应工具等待(48%)和工具维护(47%)。71%的受访者呼吁提高自动化程度来帮助改善以上领域。

一个常见的问题是,工具太多,而相互之间联动的自动化程度不足。购买单点产品补充功能空白的问题在于,各产品之间可能仍然存在空白,且使用中的产品通常与其他产品有功能重叠。了解不同产品并正确使用不仅仅是安全职责复杂性增加的问题,韦茨指出,成熟度更高、SOC运营更好的公司都在尝试整合不同工具的使用。

Devo的研究显示,SOC对网络安全至关重要,但也有可能成为网络安全的痛点。SOC员工负担过重,员工流失率也太高。SOC治理混乱,常导致效率发挥不佳。如果没有得到解决,随着在家办公的增长,这些问题会更加恶化,但通过更加贴合业务和提高自动化程度来解决SOC难题的解决方案确实存在。

报告下载地址:

https://www.devo.com/wp-content/uploads/2020/06/DevoSOCPerformanceReport_2020.pdf

转载自数世咨询

上一篇:2020年十大漏洞赏金项目

下一篇:云原生带来的云安全机遇