安全运营SOC进入更年期：五大挑战和五点建议

如果不能解决当下的“内忧外患”，企业安全分析/运营SOC势必将陷入泥潭。

ESG的最新研究显示，企业安全运营和安全分析已经陷入泥沼，只有做出重大改变才能脱离困境。为了探究当下企业安全分析和运营面临的挑战，ESG调查了来自北美各行业中大型企业的406位IT和安全专业人员。得出以下结论：

安全分析和运营越来越难
近三分之二（63％）的受访者声称，如今的安全分析和运营比两年前更加困难。外部变化和内部挑战更是让难度每日剧增。外围调查结果显示，有41％的安全专家认为，由于威胁形势的快速变化，现在安全分析和运营变得更加困难，30％的专业人士认为，由于攻击面的不断增加，事情正变得雪上加霜。安全团队别无选择，只能跟上这些动态的外部趋势。在内部方面，35％的受访者表示，安全性分析和操作今天变得更加困难，因为它们收集的安全数据比两年前更多； 34％的受访者表示，安全警报的数量在过去两年中有所增加，并且29％的人抱怨很难跟上安全运营任务的数量和复杂性。

安全数据管道难题：更多数据，更多问题
与两年前相比，将近三分之一的企业和组织（32％）为网络安全分析和运营采集的数据大幅度增加，44％的企业和组织安全数据有小幅增长。而且，与过去相比，有52％的组织在线上保留数据的时间更长。大量的实时和历史安全数据形成了庞大的数据存储库，这些存储库既昂贵又难以管理。安全分析师们经常抱怨的问题就是：数据太多反而找不到数据。

传统的本地SIEM方案并不完整
高达70％的企业仍然依赖安全信息和事件管理（SIEM）系统来进行安全分析和操作。此外，很多企业的安全运营中心（SOC）团队还围绕SIEM配备了用于威胁检测/响应，调查/查询，威胁情报分析以及流程自动化/编排的其他工具。这就产生了一个问题：如果SIEM对于安全分析和运营至关重要，为什么企业还要补充那么多其他工具？

研究表明，尽管SIEM擅长发现已知威胁并生成安全性和合规性报告，但它并不适合检测未知威胁或其他安全操作用例。而且，有23％的安全专家表示SIEM平台需要大量的人员培训和经验，而21％的人则认为SIEM需要不断的调整和大量运营资源才能发挥作用。SIEM不会很快退位，但显然需要帮助。

人才和技能短缺仍然普遍存在
四分之三的受访者认为，网络安全技能短缺已经影响了组织的安全分析和运营。CISO不能简单地通过招兵买马来摆脱困境吗？这并非易事：70％的安全专家表示，招募和雇用SOC人员比较困难或者非常困难。很多企业已经开始通过购买可管理安全服务（托管服务）来解决技能差距。今天，有74％的组织使用可管理安全服务（用于安全分析和运营），而90％的企业计划在将来增加对托管安全服务的使用。不久的将来，SOC将不再是一个人（企业）的战斗。

安全分析和运营技术正在迁移到公共云 
过去，CISO倾向于对本地安全分析和操作技术进行手动控制，但眼下趋势已变。研究表明，有41％的组织更喜欢基于云的安全分析和运营技术，而另外17％的组织愿意试点云安全分析和运营技术。

为什么要迁移到云？最明显的原因是要避免内部安全分析和操作基础结构的成本和复杂性（即，数据收集器/处理器，负载平衡器，服务器，存储设备等的部署和正在进行的操作）。有趣的是，一些先进的组织认为，可扩展的，易爆的基于云的处理和存储资源可以提供通过本地部署的努力无法实现的分析机会。机器学习算法在海量安全数据集上的应用尤其如此。

给CISO和安全专业人员的四条建议：

1. CISO必须基于长期和全面的策略来完善SOC，这些策略可以着重提高安全性，提高运营效率并支持业务目标。仅仅依靠战术上的调整是行不通的。
2. 大型组织应认识到，安全分析和运营本质上是大数据应用，着要求安全团队具备相当的数据管理技能，以便他们可以大规模构建和操作安全数据管道。
3. CISO必须计划进行云迁移，以便他们可以创建安全运营和分析平台架构（SOAPA），预防，检测和响应跨混合IT基础架构的安全事件。
4. 为了解决安全运营的规模和范围以及持续的网络安全技能短缺问题，SOC经理必须依靠人工智能、安全流程自动化和可管理安全服务获取持续发展动力。CISO需要详细规划，利用这些要素来提升SOC从人员、供给到流程各个环节，更好地保护企业关键业务资产。

安全牛给CIO的一点建议：

IT安全团队（包括SOC）与IT运营团队（包括网络运营中心NOC）的隔阂甚至对抗是摆在CIO面前的最大难题，IT运营的核心目标是保障企业业务的连续性和可用性，而IT安全团队和SOC的核心目标是安全威胁预防、检测与响应，表面看两个部门的大目标是一致的，但是由于两个部门职能和责任上的有交叠，如果不能协调一致，会导致企业的安全防御能力和效率大打折扣。Forrester做过一项这方面的调查，67%的企业IT人员认为，两个部门的裂隙在加大，而且IT运营与IT安全部门不和的企业，修补漏洞所需时间要比“和谐”企业长两周左右。

CIO如果想推动IT安全和IT运营部门之间的协作，通常需要考虑从组织架构重组和部署统一工具两个方面着手。