調查:內部分工問題是SOC效率的頭號殺手
責編:gltian |2020-07-14 14:22:55安全運營中心的重要性(SOC)毋庸置疑,但很多SOC的效率卻很低。
在外部人士看來,安全運營中心(SOC)蓬勃發展,欣欣向榮;但以內部人士的視角,SOC問題多多,令人擔憂。一方面,72%的公司認為SOC是安全策略的關鍵部分;但另一方面,60%的SOC員工由于壓力而考慮過轉行,65%的SOC員工聲稱攻擊界面可見性有限。
Devo公司委托波耐蒙研究所(Ponemon)對600位從事IT和安全工作的專業人員進行了一項調查,旨在更好地了解SOC效率高低背后的原因。總的說來,“爭地盤”是SOC效率低下的主要原因——SOC職責范圍不明確。Devo報告稱:“64%的受訪者認為,圍繞誰該負責什么的內部爭奪,是SOC成功的巨大阻礙。而在2019年,有這種想法的受訪者占比還只是57%。”
坦白講,SOC效率在很多方面還是在緩步前進的,但真的非常緩慢。報告指出:“認為自家SOC在證據收集、事件調查和威脅源確定方面非常高效的受訪者增加了8%。”雖然這聽起來似乎前途光明,但改善幅度僅從42%增至50%,這意味著一半的受訪者仍然認為SOC表現不佳。
接受《安全周刊》采訪時,Devo網絡安全總經理朱利安·韋茨(Julian Waits)稱:“大多數SOC和安全項目失敗的真實原因,是因為他們從來沒有真正作為一個團隊來執行業務影響分析。談到自己的安全項目,這些公司的關鍵詞從來都是技術、技術、技術。他們也談及一點點過程,但由始至終都不提為什么要做這些安全項目。這就是問題所在了。如果你是零售商,最重要的事包括銷售終端、個人信息等等。你應該列出自己所有的風險考慮,然后才是挑選技術,保護這些對業務最為重要的東西。沒做好業務影響分析,那就只會是各自為戰,一團混亂。”
他補充道:“CISO正迅速適應對業務敏銳性的職責要求,但整個安全團隊,包括SOC團隊,都應像CISO一樣增加對業務的了解。SOC團隊本質上是問題清道夫,他們的工作就是解決問題。因此,他們要查找可能有害的CVE或其他潛在惡意事件,但找到之后,還得應用到業務意義上才有用。通常情況下,不僅僅是安全項目,參與安全項目的所有人都應該牢記這一點。這是成熟安全項目正確運營的基礎。設置安全項目不僅僅是為了保護具體事物,而是要確保業務能正常運營。”
缺乏凝聚力所造成的“混亂”,會影響SOC工作人員。78%的受訪者認為工作非常痛苦,75%認為工作量增加是造成員工倦怠的首要原因,53%稱“復雜和混亂”是主要痛點。以上每個數據都比去年有所上升。還值得注意的是,該調查涵蓋了COVID-19之前的時期。“現在問題的惡化程度呈指數級上升,因為他們還是一個挨一個地坐在SOC機房里盯著各自的大屏幕。”
而在未來,這一問題似乎還會繼續惡化。新冠病毒爆發之前,68%的受訪者抱怨需要跟蹤調查的警報太多,而67%的受訪者不堪信息過載的重負。新冠病毒爆發之后,在家辦公的人越來越多,且目測疫情結束之后這種辦公模式也不會完全消失。這就引入了一大堆全新的威脅和攻擊渠道,SOC團隊現在不得不開始憂慮人們的家庭電腦上會運行著哪些此前從未見過的東西。
SOC在數字取證中的作用主要局限于已知受保護環境中的設備。而在未來,團隊還需調查甚至不屬于公司的遠程未受保護設備。他們需要能夠鑒別安全事件、對公司有影響的事件和跟公司沒關系的事件。
盡管如此,SOC的表現總是有好有差,這份調查報告就是要找出高效和低效SOC的區分因素。在有效性方面高效SOC得分為滿分10分中的7分及以上。有三個方面尤為突出。73%的成功SOC完全或部分符合業務需求(只有37%的低效SOC可以這么說)。44%的高效SOC對公司整體安全戰略“至關重要”(只有18%的低效SOC處于此位置)。67%的高效SOC有明確的員工培訓和保留計劃(相比之下,只有31%的低效SOC有此類計劃)。
高效SOC仍可改進。78%的受訪者呼吁提高IT安全基礎設施的可見性;65%要求解決IT運營團隊和SOC團隊之間的地盤爭奪或孤島問題;49%的受訪者希望看到隱私和數據保護合規得到改善。最大的痛點是威脅情報管理(60%)、惡意軟件防護(57%)、響應工具等待(48%)和工具維護(47%)。71%的受訪者呼吁提高自動化程度來幫助改善以上領域。
一個常見的問題是,工具太多,而相互之間聯動的自動化程度不足。購買單點產品補充功能空白的問題在于,各產品之間可能仍然存在空白,且使用中的產品通常與其他產品有功能重疊。了解不同產品并正確使用不僅僅是安全職責復雜性增加的問題,韋茨指出,成熟度更高、SOC運營更好的公司都在嘗試整合不同工具的使用。
Devo的研究顯示,SOC對網絡安全至關重要,但也有可能成為網絡安全的痛點。SOC員工負擔過重,員工流失率也太高。SOC治理混亂,常導致效率發揮不佳。如果沒有得到解決,隨著在家辦公的增長,這些問題會更加惡化,但通過更加貼合業務和提高自動化程度來解決SOC難題的解決方案確實存在。
報告下載地址:
https://www.devo.com/wp-content/uploads/2020/06/DevoSOCPerformanceReport_2020.pdf
轉載自數世咨詢
上一篇:2020年十大漏洞賞金項目
下一篇:云原生帶來的云安全機遇