要做好SOC,须顺应当下安全体系建设的新潮流,人很关键,技术也很重要,SOAR是热点,最后别忘了安全流程和规程。
2021 年 1 月份,Ponemon 针对 2020 年初做的《SOC 经济学》调研报告出了一个续集。在第二年度的《SOC 经济学:出效果到底要花多少钱》的报告中,更多的受访者(80%)认为 SOC 是必不可少、甚至是十分重要的,而 2020 年的报告显示这个数字是 73%。
本次报告的最终采纳调研样本是 682 份(发出了 17200 份),并且访谈对象基本都是各单位 SOC 相关的中高级管理者,他们的行业分布分散,单位规模都是中型以上。报告显示:
疫情对 SOC 的运行产生了显著的影响,超过三分之一的 SOC 团队被迫采用远程运行的方式,超过一半的的人表示他们的工作受到了疫情的影响。如何保障员工远程办公的安全性成为了 SOC 的一项焦点工作,而国家级的攻击以及犯罪组织的攻击在 SOC 团队心中的阴影面积进一步加大。
好消息是 SOC 运行人员日益受到重视,30% 的组织表示 2021 年的 SOC 团队规模将扩大到 6~10 人。更重要的,是薪资的蹿升,调研显示同比去年将提升 32%。不过人也变得更累了(75% VS 70%)。
坏消息是 SOC 的投资回报率同比上一年度下降了。超过一半的受访者表达了这个观点。导致下降的原因可能是 SOC 复杂度问题,SOC 还是太复杂了。在采用 MSS 的成本方面也有较大幅度的提升:2020 年的平均成本在 530 万美元,相较而言,2019 年的平均成本约为 444 万美元,提高了 20%。
通常 SIEM 是 SOC 工具集合的大头,但是报告显示,现如今花费的最大头变成了 SOAR,其次是 XDR。为什么?答案很明显。SOC 的复杂性和人手的不足呼唤自动化、呼唤更聚焦和简化的运行平台。
今年的报告跟去年的在调研内容上大体一致,从而更容易进行对比分析。报告依然从 5 个方面进行了分析。
1)当前 SOC 现状
下图展示了受访者心目中最重要的 SOC 活动的排序:
通过两年对比,可以看到降低误报(88%)依然位居第一,敏捷的 DevOps(85%)蹿升至第二,威胁情报从第二降到第三,自动化和 AI 上升一位到第四(80%)。
下图展示了SOC 的 8 大核心服务:
可以发现,管理 FW/IPS 依然位居第一,其次是 IDS、UTM、抗 D、恶意代码防护、漏扫、威胁猎捕、事件响应与恢复。
有意思的是,尽管更多的人(81%)认为事件响应(IR)比以往更为重要,但却在 SOC 核心功能中位居第八。这说明,用户需求与 SOC 实际并不匹配。
这次 Ponemon 还做了一个SOC 收集数据类型的调研,结果如下:
可见,收集的日志类型还是传统的日志类型位居主流,EDR 勉强超过一半,NDR 就没有列入问题选项。
2)人是 SOC 的关键
首先是人的薪资在增长,其次是 SOC 团队规模在扩大,随着而来的是压力还在增加。
下图展示了 SOC 工作的痛点排行榜:
可以发现,很多痛苦在加剧,譬如工作负担不断加重、7*24*365 全年无休、信息过载、情报有效利用问题、SOC 复杂度和混乱程度。有些痛苦有所改善,譬如网络和 IT 基础设施的可见性(应该是得益于更好的工具)、专业人才招聘难度(单位的确更重视了,从业者队伍也在扩大)。
3)SOC 工具的预算情况
在去年的报告中,没有这个内容。当时第三部分讲的是 “影响 SOC 成本的关键因素”。
在去年的报告中,给出了自建型 SOC 的年均开销是 286 万美元。在今年的报告中,给出了安全工程上的年均开销 271 万美元。两者统计口径有变化,无法评判说自建型 SOC 的年均开销是增长了还是下降了。报告也没有明示。
但在今年的报告中,特别对几项当下热门的 SOC 工具/技术的花费进行了分析,如下图所示:
正如本文开头所述,SOAR 成为当下 SOC 领域的重点投资对象,其次是 XDR、MDR,然后才是 SIEM。
更进一步,报告还分析了 SOAR 的实际用途:
报告显示,SOAR 主要是用来进行告警和事件分析,其次是对这些告警和事件(案例)进行丰富化,遏制和修复则排在更后面。有何感想?R(响应)怎么跑后面去了?这个调研结果很有趣,给我们展示了 SOAR 的一类更普遍的使用场景,笔者在国内进行 SOAR 布道时也常常提及这个点。
4)委建 SOC 的问题
在 MSS 这块,正如本文开头所述,相较于去年,用户采购 MSSP 的年均开销进一步上升,从 2019 年的 444 万美元升到 2020 年的 531 万美元。不过好消息是 MSSP 的服务效果有所提升,从 2019 年的 42% 上升到 2020 年的 52%。尽管如此,依然还有 38% 的受访者计划将委建 SOC 转为自建 SOC。
5)高绩效 SOC 的特点
报告从 505 个受访者中抽取了 177 位自认为自己单位 SOC 效果很棒的作为高绩效 SOC 的样本群,然后将这 177 个样本数据与整体数据进行对比分析。
报告显示,高绩效 SOC 更倾向于认为自己的 SOC 对于本单位的整体网络安全战略是十分重要的;高绩效 SOC 团队也认为 SOC 过于复杂(尽管比重低于整体值,但绝对值依然在 72%);高绩效团队的承压能力更强(但是受压程度反而要略低于总体水平),人员配置更多,离职率也更低,队伍更稳定,受疫情影响也更小。
笔者感想
建议结合笔者去年报告的感想来看今年的感想。
首先,现在国内的安全体系建设正在从这一轮的采购期向这一轮的运行期转移,而新一轮的建设模式也在从采购模式向自身能力建设模式提升,采购模式又在从买产品向买服务转变。这些变化带来的结果之一都是对 SOC 的日益重视。但 SOC 的运行/运营成熟度还达不到我们对它的期待。这不仅是 SOC 本身固有的问题,也是现在多变、恶化的威胁造成的。SOC 运行的本质还在于人,这是安全的对抗性决定的。所以,对人的重视和投入很大程度决定了 SOC 的效果。
其次,为了尽可能地提升 SOC 的效果,技术层面也并非无能为力,SOAR、XDR、MDR,以及融入更多 AI/ML 和大数据技术的 SIEM 也都在想方设法地提升 SOC 的自动化水平和检测分析能力,降低 SOC 固有的复杂性,这些都在呼唤 SOC 的再造。事实表明,技术还是有效的,但投入也是不菲的。
尽管 SOC 的投资回报率还在下降,但面对更加恶化的风险时预期损失的升高,将迫使人们持续加大对 SOC 的投入。所以,重要的不是做不做 SOC,而是如何做 SOC。如何做?此处就提一点:必须均衡地在人员、流程和技术三个方面进行持续投入。
最后,留一个引子,2020 年整年我们都在思考实战化、体系化、常态化的安全运行/运营需要一个什么样的技术平台。为此笔者提出了一套未来 SOC 平台设计的新理念,等待时机分享。