近日，SANS研究所發(fā)布了《2024年SOC技術(shù)應(yīng)用調(diào)查報(bào)告》。調(diào)查結(jié)果顯示，許多組織仍在與困擾他們多年的SOC技術(shù)應(yīng)用問題作斗爭，這些問題包括缺乏SOAR等高級功能、人員配置需求高、缺乏熟練的運(yùn)營分析師以及可見性不足等。以下收集整理了本次報(bào)告的一些核心觀點(diǎn)和發(fā)現(xiàn)：

1.基于云的SOC服務(wù)模式成為新的頂層架構(gòu)

報(bào)告調(diào)查認(rèn)為，目前“基于云”的SOC服務(wù)模式現(xiàn)在已經(jīng)超過了“單一中心”的SOC，成為最常見的SOC技術(shù)架構(gòu)。遷移上云的趨勢已經(jīng)在IT界持續(xù)了很多年，現(xiàn)已延伸嵌入到SOC架構(gòu)中。云混合SOC最終將成為企業(yè)首選的SOC。安全將來自于云，服務(wù)于云，這是一個重大的改變，將迫使未來安全運(yùn)營的人員、流程和技術(shù)保持一致。

2.“SIEM一切”變得更為常見

當(dāng)詢問受訪者“如何處理SOC的海量數(shù)據(jù)”的問題時，他們似乎都不太愿意花太多精力去過濾東西，而是把所有東西都傾倒到SOC的日志處理分析系統(tǒng)（SIEM）中（見下圖）。這個答案似乎與安全運(yùn)營的發(fā)展要求相違背，但相比在收集數(shù)據(jù)前花費(fèi)大量精力去弄清楚實(shí)際需要什么，“SIEM一切”的數(shù)據(jù)處理方式，顯然對安全運(yùn)營團(tuán)隊(duì)來說更具成本效益。

3.集中式架構(gòu)比例有所增加

企業(yè)組織構(gòu)建SOC的方法有很多。擁有一個集中式SOC是其中最常見的方法（如下圖所示），403名受訪者中有242名（60%）受訪者如此認(rèn)為。與2023年的49%和2022年的53%相比有所增加。

4.自動化威脅狩獵應(yīng)用不斷增長

威脅狩獵的主要目標(biāo)是尋找還沒有被威脅檢測系統(tǒng)發(fā)現(xiàn)到的漏洞，有一種重要但簡單的狩獵方法就是將新發(fā)現(xiàn)的指標(biāo)應(yīng)用于歷史數(shù)據(jù)存儲庫。

在詢問“威脅狩獵活動是否自動化”時，46.1%的受訪者表示他們使用供應(yīng)商提供的工具實(shí)現(xiàn)了部分自動化（如下圖所示），同比去年增長了8.1%

報(bào)告認(rèn)為，使用更新的威脅指標(biāo)（IoC）進(jìn)行追溯分析只是最低限度的獵殺，真正的威脅狩獵需要對以前未被發(fā)現(xiàn)的東西進(jìn)行深思熟慮地探索。建議是，持續(xù)深入進(jìn)行自動化追溯分析，并努力進(jìn)行復(fù)雜的獵殺。

5.AI/ML技術(shù)應(yīng)用滿意度仍不容樂觀

去年，SANS首次將AI/ML添加到其技術(shù)滿意度分析列表中，結(jié)果它排在最后一名。今年，情況有所變化，但仍不容樂觀。報(bào)告發(fā)現(xiàn)，從2023年到2024年，計(jì)劃實(shí)施AI/ML的SOC項(xiàng)目比例呈現(xiàn)下降趨勢：從2023年20.5%的組織表示計(jì)劃實(shí)施降至2024年的10.6%。

此外，已經(jīng)購買這些技術(shù)的買家是否存在“后悔情緒”，SANS每年都會提供基于GPA的評分。2023年，AI/ML的GPA為2.17，僅擊敗了GPA最低的網(wǎng)絡(luò)數(shù)據(jù)包分析（2.15）。今年，它再次排在倒數(shù)第二，但平均績點(diǎn)更低，僅為1.99。

6.運(yùn)營分析師的平均任期增加

專業(yè)人員配備一直是SOC應(yīng)用中最受關(guān)注的問題。只有通過熟練的分析師，SOC系統(tǒng)才能在真實(shí)安全運(yùn)營場景下表現(xiàn)良好。所以分析師的留存率是SOC系統(tǒng)應(yīng)用的一個長期挑戰(zhàn)。本次調(diào)研結(jié)果顯示，具備3到5年任期經(jīng)驗(yàn)的人員比例，略高于1到3年任期，這對組織來說是一個積極的趨勢。

那么，究竟是什么因素促使SOC分析師留下來？調(diào)查結(jié)果顯示，工作成就感對員工的意義愈發(fā)突出，已成為首要驅(qū)動因素。如今，組織對一級診斷和分析的自動化程度不斷提高，這使得SOC分析師能夠?qū)Ｗ⒂诟邞?zhàn)略性和智力刺激的活動，例如威脅獵殺和高級事件響應(yīng)，進(jìn)而緩解分析師的職業(yè)倦怠問題。

7.SOC技術(shù)滿意度分析

本次報(bào)告對SOC系統(tǒng)中廣泛涉及的47種技術(shù)進(jìn)行了調(diào)研。如下圖所示是對處于已部署狀態(tài)的各種技術(shù)的滿意度評分，結(jié)果表明，滿意度更高的是EDR/XDR、VPN、SWG/SEG、SIEM、NGF、MPS、IDS/IPS、持續(xù)監(jiān)控和評估、DoS/DDoS防護(hù)、端點(diǎn)OS監(jiān)測與日志分析、惡意軟件防護(hù)、DNS防火墻、網(wǎng)絡(luò)流量監(jiān)控等。

滿意度較低的技術(shù)包括：AI和ML、欺騙技術(shù)（如蜜罐）、網(wǎng)絡(luò)連接分析、全包捕獲、網(wǎng)絡(luò)流量分析。此外，受訪者對SOAR、威脅情報(bào)平臺（TIP）、威脅獵殺、數(shù)據(jù)丟失防護(hù)、SSL/TLS流量檢測等技術(shù)的應(yīng)用滿意度也不太高。

值得一提的是，盡管本底調(diào)查顯示GPT技術(shù)應(yīng)用的滿意度較低，只獲得了51個肯定回復(fù)。但報(bào)告分析師認(rèn)為，GPT可以成為未來SOC應(yīng)用優(yōu)化的推動者，以優(yōu)化溝通并提升分析師對信息理解，但它還不能取代分析師。

8.SOC系統(tǒng)應(yīng)用面臨的挑戰(zhàn)

在被問及“組織在應(yīng)用SOC時目前面臨的最大障礙是什么？”時，18.3%受訪者回答了“缺乏自動化響應(yīng)和編排”功能，緊隨其后的兩個答案是直接相關(guān)的——“高員工需求”（14.4%）和“缺乏熟練員工”（14.2%）。第四個常見的挑戰(zhàn)則是缺乏企業(yè)級的可見性，占比12.9%。其他挑戰(zhàn)還包括安全、應(yīng)急響應(yīng)和運(yùn)營人員間的孤島思維，缺乏管理支持，太多工具未能實(shí)現(xiàn)集成，缺乏上下文關(guān)聯(lián)，警報(bào)疲勞，缺乏操作流程和指南以及合規(guī)要求等。

9.SOC應(yīng)用性能的度量指標(biāo)

報(bào)告認(rèn)為，SOC的使用性能需要通過指標(biāo)來評估。其中，外包項(xiàng)目（滲透測試、取證、威脅情報(bào)和警報(bào)分類）最常見的衡量指標(biāo)是處理的事件數(shù)量。緊隨其后的指標(biāo)還包括根除的徹底性（沒有復(fù)發(fā)的原始或類似妥協(xié)）、從發(fā)現(xiàn)到遏制再到根除的時間、由于已知/未知漏洞而發(fā)生的事件等等。

原文鏈接：https://torq.io/resources/sans-soc-survey/