根據(jù) Exabeam 的調(diào)查，絕大多數(shù)人覺(jué)得 SOC 的威脅檢測(cè)能力很可靠，但組織并沒(méi)有因?yàn)榇硕兊酶踩?。技術(shù)上向 SOAR 發(fā)展，而人員短缺的情況也要得到重視。

Exabeam 在 2020 年發(fā)布的 SOC 調(diào)查報(bào)告中發(fā)現(xiàn)，82% 的 SOC 人員對(duì)檢測(cè)威脅的能力充滿信心，但只有 22% 的人統(tǒng)計(jì)過(guò)平均檢測(cè)時(shí)間(MTTD)。

這種毫無(wú)理由的自信讓 39% 的公司仍然陷在缺少 SOC 人員的泥潭中，并且一直在尋找合格的人才來(lái)彌補(bǔ)缺口。

調(diào)查在美國(guó)、英國(guó)、加拿大、德國(guó)和澳大利亞展開(kāi)，共計(jì) 295 個(gè)調(diào)查對(duì)象。此外，還針對(duì)分析人員和 SOC 管理層如何看待安全運(yùn)營(yíng)、人員招聘、人員配置、人員培訓(xùn)和資金花費(fèi)等方面的內(nèi)容展開(kāi)了調(diào)查。

“從 2018 年到 2019 年，DWELL 時(shí)間(攻擊發(fā)生到發(fā)現(xiàn)攻擊的時(shí)間間隔)實(shí)際上是正在增加的，但這份調(diào)查報(bào)告中發(fā)現(xiàn)大家對(duì)網(wǎng)絡(luò)威脅檢測(cè)能力的信任是令人驚訝的”，Exabeam 首席安全策略官Steve Moore如是說(shuō)。

這種不平衡可能是由于 SOC 管理層和一線分析人員對(duì)組織面臨的最常見(jiàn)威脅沒(méi)有達(dá)成共識(shí)。SOC 管理層人為網(wǎng)絡(luò)釣魚(yú)和供應(yīng)鏈漏洞是問(wèn)題的核心，而分析人員常常將DDoS 攻擊和勒索軟件視為更大的威脅。

技術(shù)趨勢(shì)

中小型公司最關(guān)心的是停機(jī)時(shí)間或業(yè)務(wù)中斷，占比達(dá)到了 50%。他們不認(rèn)為威脅狩獵是一種操作模式，而是將威脅狩獵作為一項(xiàng)必不可少的技能挑選出來(lái)(61%)。其他發(fā)現(xiàn)如下所示：

• 美國(guó)的 SOC 外包比例同比下降(36% 下降至 28%)
• 英國(guó)的 SOC 外包比例同比上升(36% 上升至 47%)
• 德國(guó)的 SOC 外包比例為 47%，主要是提供威脅情報(bào)服務(wù)
• 澳大利亞的 SOC 運(yùn)營(yíng)情況不容樂(lè)觀，需要進(jìn)行更新升級(jí)

對(duì) SOC 來(lái)說(shuō)，監(jiān)控分析、訪問(wèn)管理和日志記錄都是重中之重：

• 超過(guò)一半的 SOC 記錄了 SIEM 中至少 40% 的事件
• 英國(guó)對(duì)日志記錄的利用最多
• SOC 普遍缺乏創(chuàng)建檢測(cè)邏輯、驗(yàn)證、調(diào)整和報(bào)告的能力(35%)

為此，大多數(shù)人都希望在未來(lái)的幾年中，安全編排、SOAR 能夠得到優(yōu)先發(fā)展。

SOC 人員短缺

SOC 留住人才的主要因素是：公司福利、高薪和積極向上的企業(yè)文化。有些情況仍然值得注意：

• 美國(guó)有 23%、加拿大有 35% 的 SOC 配備人員不足十人
• 64% 的一線員工表示缺乏職業(yè)發(fā)展是離職的主要原因
• 效果較差的 SOC 認(rèn)為在技術(shù)、培訓(xùn)和人員上都缺乏必要的投入