安全运营SOC进入更年期：五大挑战和五点建议

如果不能解决当下的 “内忧外患”，企业安全分析/运营 SOC 势必将陷入泥潭。

ESG 的最新研究显示，企业安全运营和安全分析已经陷入泥沼，只有做出重大改变才能脱离困境。为了探究当下企业安全分析和运营面临的挑战，ESG 调查了来自北美各行业中大型企业的 406 位 IT 和安全专业人员，得出以下结论：

1. 安全分析和运营越来越难

近三分之二 (63％) 的受访者声称，如今的安全分析和运营比两年前更加困难。外部变化和内部挑战更是让难度每日剧增。

外围调查结果显示，41％ 的安全专家认为，由于威胁形势的快速变化，现在安全分析和运营变得更加困难，30％ 的专业人士认为，是攻击面的不断增加导致难度持续上升，安全团队别无选择，只能咬牙紧跟外部动态和趋势。在企业内部调查中，35％ 的受访者认为安全性分析和运营比过去变得更加困难，主要因为安全数据比两年前要多得多；34％ 的受访者表示，安全警报的数量在过去两年中有所增加，另有 29％ 的人抱怨很难跟上安全运营任务的数量和复杂性。

2. 安全数据管理难题：更多数据，更多问题

与两年前相比，将近三分之一的企业和组织 (32％) 为网络安全分析和运营采集的数据大幅度增加，44％ 的企业和组织安全数据有小幅增长。而且，与过去相比，有 52％ 的组织保留安全 “热数据”的时间更长。大量的实时和历史安全数据形成了体积庞大的数据存储库，这些数据库既昂贵又难以管理。

安全分析师们经常抱怨的问题就是：数据太多反而找不到数据。

3. 传统的本地SIEM方案并不完整

高达 70％ 的企业仍然依赖安全信息和事件管理 (SIEM) 系统来进行安全分析和运营。此外，很多企业的安全运营中心 (SOC) 团队还围绕 SIEM 配备了用于威胁检测/响应、调查/查询、威胁情报分析以及流程自动化/编排的其他工具。这就产生了一个问题：如果 SIEM 是安全分析和运营的 “重器”，为什么企业还要补充那么多其他工具？

研究表明，尽管 SIEM 擅长发现已知威胁并生成安全与合规性报告，但它并不适合检测未知威胁或其他安全运营场景。而且，有 23％ 的安全专家表示 SIEM 平台需要大量的人员培训和经验，而 21％ 的人则认为 SIEM 需要不断调优并消耗大量运营资源才能发挥作用。总之，SIEM 不会很快失宠，但显然还远远不够。

4. 人才和技能短缺仍然普遍存在

四分之三的受访者认为，网络安全技能短缺已经影响了组织的安全分析和运营。CISO 不能简单地通过招兵买马来摆脱困境吗？这并非易事：70％ 的安全专家表示，招募和雇用 SOC 人员比较困难或者非常困难。很多企业已经开始通过购买可管理安全服务（托管服务）来解决技能差距。今天，有 74％ 的组织使用可管理安全服务（用于安全分析和运营），而 90％ 的企业计划在将来增加对托管安全服务的使用。不久的将来，SOC 将不再是一个人（企业）的战斗。

5. 安全分析和运营技术正在迁移到公有云

过去，CISO 倾向于对本地安全分析和运营技术进行手动控制，但眼下趋势已变。研究表明，有 41％ 的组织更喜欢基于云的安全分析和运营技术，而另外 17％ 的组织愿意试点云安全分析和运营技术。

为什么要迁移到云？最明显的原因是要规避内部安全分析和安全运营基础设施的成本和复杂性（即数据采集/处理器、负载平衡器、服务器、存储设备等的部署和运营）。更为重要的一点是，很多企业的安全运营主管认为，可动态扩展的云计算和存储资源可以提供远高于本地系统的分析能力，基于海量安全数据集上的机器学习算法和应用尤其如此。

给 CISO 和安全专业人员的四条建议

1. CISO 必须基于长期和全面的策略来完善 SOC，这些策略可以着重提高安全性，提高运营效率并支持业务目标。仅仅依靠战术上的调整是行不通的。

2. 大型组织应认识到，安全分析和运营本质上是大数据应用，要求安全团队具备相当的数据管理技能，以便他们可以大规模构建和操作安全数据管道。

3. CISO 必须计划进行云迁移，以便他们可以创建安全运营和分析平台架构 (SOAPA)，预防，检测和响应跨混合 IT 基础架构的安全事件。

4. 为了解决安全运营的规模和范围以及持续的网络安全技能短缺问题，SOC经理必须依靠人工智能、安全流程自动化和可管理安全服务获取持续发展动力。CISO需要详细规划，利用这些要素来提升SOC从人员、供给到流程各个环节，更好地保护企业关键业务资产。

极牛网给 CIO 的一点建议

IT 安全团队（包括 SOC）与 IT 运营团队（包括网络运营中心 NOC）的隔阂甚至 “较劲” 是摆在 CIO 面前的最大难题，IT 运营的核心目标是保障企业业务的连续性和可用性，而 IT 安全团队和 SOC 的核心目标是高效的安全威胁预防、检测与响应，表面看两个部门的大目标是一致的，但是由于两个部门职能和责任上的有交叠，如果不能协调一致，会导致企业的安全防御能力和效率大打折扣。

Forrester 做过一项这方面的调查，67% 的企业 IT 人员认为，两个部门的裂隙在加大，而且 IT 运营与 IT 安全部门不和的企业，修补漏洞所需时间要比 “和谐” 企业长两周左右。

CIO 如果想推动 IT 安全和 IT 运营部门之间的协作，通常需要考虑从组织架构重组和部署统一工具两个方面着手。