Ponemon报告：提升SOC的有效性

2019年6月，Ponemon发表了一份题为《提升SOC有效性》的调研报告，重点对当前SOC面临的挑战进行了调研，揭示了SOC发挥实际作用所面对的诸多障碍。报告认为，SOC的重要性已经得到认可，但SOC的有效性依然距离期望值较远。

Ponemon对SOC的定义是：SOC是一支专业的团队及其支撑这支团队工作的相关设施，这支团队的工作是对安全事件进行阻断、检测、分析与响应。（A SOC is defined as a team of expert individuals and the facility in which they work to prevent, detect, analyze and respond to cybersecurity incidents.）

Ponemon认为SOC成功的关键因素在于来自组织高层领导的支持、对技术的投资，以及招募并维持一支富有战斗力和激情的团队的能力。

报告整理了554份受访者的问卷回复，对24个问题的答复进行了统计。以下笔者摘录部分重要调研结果。

一、SOC的重要性

86%的受访者都表示SOC对他们是网络安全战略中重要的组成部分。

二、SOC的现状

1）SOC团队主要从事的工作：排名前三的是技术实现、打补丁和威胁调查，都是战术层面的事情为主，而战略层面的工作则相对较少。

上图也列举了Ponemon认为的SOC应该包括的主要工作内容分类。

2）SOC的部署模式：以本地建设为主，其次是上云（共有云），还有一些是混合模式。

3）SOC中对TI（威胁情报）的应用：51%的受访者表示他们应用了TI。这些用了TI的受访者中有54%表示TI来源是混合了开源和商业的，并且仅有28%的TI使用者表示他们没有开发自己的TI。这就是说，大部分应用了TI的用户大都在接受外部TI的基础上定制自己TI，定制的方式包括基于技术的、基于行业的和基于业务的。

4）SOC识别到的威胁类型：最主要的是恶意代码攻击，其次是已知漏洞和钓鱼攻击。

5）SOC对安全事件的MTTR（平均消除时间，mean time to resolution）：主要集中的数周的时间内，持续数月乃至数年也不稀奇。

三、SOC面临的挑战

1）SOC的有效性和SOC收集信息识别威胁的能力水平：42%的受访者认为SOC是有效的（评分在7~10分之间），意即58%的人给出的评分是1~6分，也就是说SOC的有效性总体不够。另一方面，SOC在采集信息、分析和识别威胁方面的能力水平也不够，认为这个水平OK的受访者比例不到一半，为47%。

2）导致SOC有效性不足的原因：首要原因是缺乏对网络流量的可见性，其次是不能及时修复，SOC过于复杂，缺乏人手和误报太多。

3）预算不足。

4）影响SOC有效性的技术：Ponemon列举的6种对SOC有效性至关重要的技术的应用水平都不高，包括：高级分析能力（行为分析/统计异常分析）、可以快速部署的事件响应能力、包含攻击缓解和取证调查的事件响应能力、根据企业区域和规模而变的服务可伸缩性、面向业务的安全能力、与企业其它安全智能工具的互操作性。