文/Benny Ye

概述

2021年10月底,SANS发布了第五次SOC调研的结果,发表了《2021年度SOC调研报告》【笔者注:由于赞助商不够,2020年度做了调研但没有出SANS报告,本报告作者Chris Crowley自己编制并个人发表了2020年度的调查报告】。

通过319个受访者(主要来自北美和欧洲)的问卷调查,有以下几个关键发现:

1)33%的受访者承认自己所在单位发生了至少一次安全事件或者入侵;

2)把SOC完全用起来的最大挑战首先是缺乏有技能的人员,其次是缺乏自动化与编排,且二者之间差距极小。相比之下,2020年的调查结果缺乏有技能的人员位居第一,缺乏自动化与编排位居第三;2018年和2019年的最大挑战前二位则都跟2021年一样【笔者注:可以预料,对于SOC而言,随着有技能人员持续短缺且难以弥补,对自动化与编排(SOAR)技术的需求会越来越高,而这也已经成为了有效提升SOC绩效指标的最快途径】;

3)度量指标很重要。77%的受访者表示自己单位制定了SOC度量指标,但这些受访者中只有67%对指标表示满意;31%则表示不满;

4)87%的受访者认为SOC分析师可以远程办公,并认为有一个安全的远程工作平台至关重要;

5)最典型的SOC组织在职人员数量(不含外包)在2到10人

SOC能力

下图展示了SOC应具备的能力排序,排名越靠前,说明这个能力被越多的受访者认为是SOC必备的能力。【笔者注:下面的选项是SANS预设的,因此如果有些属于SOC但未列出的能力不代表就是不重要的】

可以发现,最多被选择的SOC能力(不区分获得途径)是安全事件响应、告警(分诊和升级)、安全监测与检测、数据保护、漏洞评估排名最靠前。而紫队、红队和威胁情报(溯源)则最少人选择。不过,还是有超过五成的人选择将其纳入SOC能力范围。

【笔者注:事实上,近些年来,先进的SOC组织越来越多考虑将红队/紫队以及基于威胁情报的溯源(不含反制)纳入其中,一方面是为了更好验证SOC的有效性,另一方面也能通过溯源形成黑客画像以提升SOC的检测能力。】

此外,可以看到合规工作依然是SOC的标准能力,但已不显著

下图是上图的另一个视角,将外包(含混合外包)的能力按照选择人数的多少进行排序:

这个图表明,渗透测试、威胁研究、威胁情报的产生和溯源,以及红队/紫队等能力更多倾向于采用外包或者混合外包(外包+自主)的方式来获得

注意,这里的外包包括MSS和SaaS,但没有提及驻场。其实SANS制作此图,主要还是在考察MSS和SaaS的发展趋势。上图中越是排名靠前的能力,越有可能用MSS和SaaS形式来实现。

【笔者注:面对甲方SOC组织团队人员的匮乏和短期内难以缓解的困境,一方面会求助于自动化,另一方面则会求助于MSS和SaaS。自动化是用技术来提升生产率,而MSS/SaaS则是用新的业务模式来提升安全效果。对于国内的MSS/SaaS而言,业务场景至关重要。MSSP和SaaS提供商要选择合适的业务场景,以规避或消除用户对供应商的信任问题和对自身数据脱离自己掌控后产生的恐惧感。好消息是大部分用户对于网络空间的“绝对安全”已经不抱执念,逐步认清网络安全的风险本质,能够接受MSSP和SaaS提供商的合理SLA。】

SANS进一步调研了SOC的资产管理能力(尽管在上图中未列出来)。

结果显示,超过一半的受访者(11+20+45=76 VS 59+7=66)对于端点资产的基础库能力覆盖不足75%。所谓基础库是指至少记录了端点资产类型、IP地址、资产标识和资产责任人(归属)。SANS认为在资产覆盖方面,当前是不够的。

SANS表示,如果SOC不能看清要保护的对象,那么就难以去保护它们

【笔者注:我们都知道资产管理对于SOC而言很重要,是基石,也都会做这块工作,但实际上覆盖度一直不够,对于SOC而言,资产管理有没有的问题仅仅是低层次的问题,更重要的问题在于资产管理覆盖的够不够,已知资产都纳管了吗?更进一步地,未知资产识别出来了吗?最后,威胁往往就发生在盲点资产之中。我们经常说资产管理是SOC的基石,没错!但很多时候,资产管理要做好很难,属于SOC的高阶能力!对于现有的SOC而言,要想提升其价值,一个切实可行的方式是找补现有资产管理能力的不足。】

接下来,SANS询问受访者能否将安全事件关联到受影响的(资产)系统所有者或者用户?结果显示,80%的人回答“是”。SANS就进一步问那些回答“是”的人,他们是如何关联的?结果如下:

如上图所示,对于端点资产(尤其是用户终端)而言,手工关联依然不在少数。

SOC人员

调查显示,最典型的SOC组织在职人员数量(不含外包)在2到10人(人员明显较少);最典型的SOC人员在职时间是1到3年(流动率较高);留住人才最有效的方法包括:培训、工薪和使命感;对于分析师的工作负担,大部分人表示没有计算过,其次则是用“每个工单耗时”来计算。

SOC技术

SOC用到的技术和工具及其所处阶段

下图展示了SOC用到的主要技术和工具(分为主机、日志、网络和分析四个维度)所处的发展阶段。注意,这些技术和工具是SANS问卷中预设的。

可以发现,最多被用到的技术是主机维的EPP或EDR(158)、分析维的SIEM(156)、网络维的VPN(155)、网络维的邮件安全(SWG&SEG)(154)、网络维的网络隔离(152)。此外网络流量监测(NDR)(149)也用的较多。

从上图最右侧的规划来看,主要考虑的是资产发现与清点、应用白名单、NAC,以及TIP等。

此外,威胁猎捕、AI/ML、资产发现与清点、NAC是当下正在部署的热点技术。

SANS还发现,受访者对EDR的总体满意度较高,NDR和SIEM满意度一般般,对AI/ML和TIP较不满意,对欺骗技术(譬如蜜罐)最不满意。

SOC部署架构

SOC依然还是以单一集中式部署为主,其次是集中分区域部署,基于云的部署模式趋势明显,但要成为主流还任重道远。

对比一下2019年做的调研,如下:

可以看出来,整个部署架构总体态势基本不变:集中式SOC占主流,非正式的SOC逐步减少,基于云的SOC逐步增加。

度量指标

常见的指标包括:处理的事件数量、检测到遏制再到消除的时长、一个班次的关闭事件数、受SOC保护的系统的风险值。跟2019年的指标排名一致。

SOC和NOC的关系

如下图所示,大部分受访者表示仅在应急的时候,两个团队才会一起工作,言下之意,平常各干各的,比较理想的协作关系排在倒数第三。还有16%的人回复称他们没有NOC团队。总而言之,大部分组织的SOC和NOC之间的关系并没有厘清,存在不少挑战。最大的障碍在于对运行过程中的优先级事项不一致,各有各的视角和关注点,且存在冲突。

报告的作者认为,SOC应该与NOC保持良好的协作关系,需要建立基本的两个团队之间的协作流程。

【笔者注:安全与IT结合是大势所趋,安全要借助IT,而安全能够赋能IT。二者要结合,需要流程先行,技术为流程和人员协同提供支撑。要实现实战化安全运营,必须要有跨IT跨组织的流程,让安全团队之外的人也参与进来,否则无法成功。】

SOC资金

调研中SANS询问受访者其管理层是否会咨询SOC负责人以讨论SOC预算水平?大部分都回答“是”。但当问及主要依靠什么来打动管理层给出更多来年预算时,典型的一种答复是:“我给出了一些指标(包括财务化的),但基本就被无视。我们需要一个彻底的灾难事件来引起他们(管理层)的注意……”。

【笔者注:好典型的套路啊,无奈ing...好在现在灾难事件层出不穷】

报告作者对2022年的个人预测

  • SOC在云中部署将越来越普及

  • 由于人才匮乏,SOAR会首先在一小部分SOC中得以实现

  • 人才匮乏的问题短期内不会改善

  • SOC的市场普及率基本到头【笔者注:这是针对欧美市场,中国则不然】

  • 外包比例会升高

对SOC用户的建议

  • 获得管理层的背书以推动SOC和NOC的集成与演进

  • 用指标化的方式来阐释SOC的业务价值

  • 以服务的形式来计算SOC的能力产出

  • 对人才的培养是第一位的,胜过给他配备高级的分析工具或者尝试自动化

  • 场景化

【笔者注:我很赞同上述建议,但都很难在短期内落实,需要一个更切实际、更加落地的行动计划】

【参考】

SANS 2019年SOC调查报告解读

Ponemon:提升SOC的有效性

从一份工作说明书看DHS的SOC运营内容与要求

NSA:运营SOC的5大原则(含解读)

Gartner:2021年SIEM(安全信息与事件管理)市场分析

SANS:2021年自动化与集成调查报告

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。