根据 Exabeam 的调查,绝大多数人觉得 SOC 的威胁检测能力很可靠,但组织并没有因为此而变得更安全。技术上向 SOAR 发展,而人员短缺的情况也要得到重视。
Exabeam 在 2020 年发布的 SOC 调查报告中发现,82% 的 SOC 人员对检测威胁的能力充满信心,但只有 22% 的人统计过平均检测时间(MTTD)。
这种毫无理由的自信让 39% 的公司仍然陷在缺少 SOC 人员的泥潭中,并且一直在寻找合格的人才来弥补缺口。
调查在美国、英国、加拿大、德国和澳大利亚展开,共计 295 个调查对象。此外,还针对分析人员和 SOC 管理层如何看待安全运营、人员招聘、人员配置、人员培训和资金花费等方面的内容展开了调查。
“从 2018 年到 2019 年,DWELL 时间(攻击发生到发现攻击的时间间隔)实际上是正在增加的,但这份调查报告中发现大家对网络威胁检测能力的信任是令人惊讶的”,Exabeam 首席安全策略官Steve Moore如是说。
这种不平衡可能是由于 SOC 管理层和一线分析人员对组织面临的最常见威胁没有达成共识。SOC 管理层人为网络钓鱼和供应链漏洞是问题的核心,而分析人员常常将DDoS 攻击和勒索软件视为更大的威胁。
技术趋势
中小型公司最关心的是停机时间或业务中断,占比达到了 50%。他们不认为威胁狩猎是一种操作模式,而是将威胁狩猎作为一项必不可少的技能挑选出来(61%)。其他发现如下所示:
- 美国的 SOC 外包比例同比下降(36% 下降至 28%)
- 英国的 SOC 外包比例同比上升(36% 上升至 47%)
- 德国的 SOC 外包比例为 47%,主要是提供威胁情报服务
- 澳大利亚的 SOC 运营情况不容乐观,需要进行更新升级
对 SOC 来说,监控分析、访问管理和日志记录都是重中之重:
- 超过一半的 SOC 记录了 SIEM 中至少 40% 的事件
- 英国对日志记录的利用最多
- SOC 普遍缺乏创建检测逻辑、验证、调整和报告的能力(35%)
为此,大多数人都希望在未来的几年中,安全编排、SOAR 能够得到优先发展。
SOC 人员短缺
SOC 留住人才的主要因素是:公司福利、高薪和积极向上的企业文化。有些情况仍然值得注意:
- 美国有 23%、加拿大有 35% 的 SOC 配备人员不足十人
- 64% 的一线员工表示缺乏职业发展是离职的主要原因
- 效果较差的 SOC 认为在技术、培训和人员上都缺乏必要的投入
