SOC安全运营工程师上班什么样：低效、过劳、职业倦怠

上个月底发布的一份研究报告显示：面对客户 IT 安全基础设施与网络流量的低可见性，安全运营中心 (SOC) 陷入低效运转困境，分析师职业倦怠、安全事件解决缓慢和误报浪潮值得警惕。

波耐蒙研究所受数据分析平台提供商 Devo Technology 委托做了这项调查研究，发现大部分受访者认为自家 SOC 效率低下，近半数 (49%) 受访者称其 SOC 未完全符合业务需求——值得 SOC 运营人员警惕的一项发现。

SOC 可自己运营或由第三方运营。形式或许多样，但 SOC 提供的服务通常包括检测与响应威胁，洞察威胁态势先机，发现疏忽、犯罪或其他危险行为，以及生成商业情报。

该研究的调查对象来自拥有 SOC 的公司企业，共 554 名 IT 安全人员，其中超半数 (53%) 将自身 SOC 收集证据、调查及发威胁源头的能力评定为低。

受访者认为，造成 SOC 低效的原因包括：网络流量可见性受限、缺乏及时修复、复杂性高、误报太多，以及与客户自身安全情报工具的互操作问题。

安全运营中心问题：分析师职业倦怠是主要原因

IT 安全人员称，在 SOC 工作很痛苦，因为工作量越来越大，而且全年无休，24 小时随叫随到。当前的威胁追捕流程也是造成在 SOC 工作压力大的部分原因。因此，65% 的受访者称，这些痛苦因素让自己考虑事业转型或辞职。

波耐蒙研究所创始人拉里·波耐蒙 (Larry Ponemon) 说：“有很多原因造成 SOC 整体低效，比如缺乏 IT 安全基础设施可见性等，但真正突出的是沉重工作量和巨大压力导致的分析师职业倦怠。很明显，提升 SOC 有效性必须解决这一关键问题。”

SOC 调查：其他重要事实

该调查报告囊括的其他行业趋势有：

• SOC 基础设施拖管位置几乎均分：53% 在云端；47% 在现场。
• 半数受访者 (51%) 称自己所在公司使用威胁情报馈送。其中 54% 表示所用威胁情报既包含开源的，也含有付费的。
• SOC 发现的最常见漏洞利用包括大批恶意内部人 (68%)。

Devo 建议：自动化更多工作流和规范化工作日程可以避免职业倦怠，弥合 SOC 与业务过程可解决 SOC 与 IT 安全运营割裂的问题。