上个月底发布的一份研究报告显示:面对客户 IT 安全基础设施与网络流量的低可见性,安全运营中心 (SOC) 陷入低效运转困境,分析师职业倦怠、安全事件解决缓慢和误报浪潮值得警惕。

波耐蒙研究所受数据分析平台提供商 Devo Technology 委托做了这项调查研究,发现大部分受访者认为自家 SOC 效率低下,近半数 (49%) 受访者称其 SOC 未完全符合业务需求——值得 SOC 运营人员警惕的一项发现。

SOC 可自己运营或由第三方运营。形式或许多样,但 SOC 提供的服务通常包括检测与响应威胁,洞察威胁态势先机,发现疏忽、犯罪或其他危险行为,以及生成商业情报。

该研究的调查对象来自拥有 SOC 的公司企业,共 554 名 IT 安全人员,其中超半数 (53%) 将自身 SOC 收集证据、调查及发威胁源头的能力评定为低。

受访者认为,造成 SOC 低效的原因包括:网络流量可见性受限、缺乏及时修复、复杂性高、误报太多,以及与客户自身安全情报工具的互操作问题。

安全运营中心问题:分析师职业倦怠是主要原因

IT 安全人员称,在 SOC 工作很痛苦,因为工作量越来越大,而且全年无休,24 小时随叫随到。当前的威胁追捕流程也是造成在 SOC 工作压力大的部分原因。因此,65% 的受访者称,这些痛苦因素让自己考虑事业转型或辞职。

波耐蒙研究所创始人拉里·波耐蒙 (Larry Ponemon) 说:“有很多原因造成 SOC 整体低效,比如缺乏 IT 安全基础设施可见性等,但真正突出的是沉重工作量和巨大压力导致的分析师职业倦怠。很明显,提升 SOC 有效性必须解决这一关键问题。”

SOC 调查:其他重要事实

该调查报告囊括的其他行业趋势有:

  • SOC 基础设施拖管位置几乎均分:53% 在云端;47% 在现场。

  • 半数受访者 (51%) 称自己所在公司使用威胁情报馈送。其中 54% 表示所用威胁情报既包含开源的,也含有付费的。

  • SOC 发现的最常见漏洞利用包括大批恶意内部人 (68%)。

Devo 建议:自动化更多工作流和规范化工作日程可以避免职业倦怠,弥合 SOC 与业务过程可解决 SOC 与 IT 安全运营割裂的问题。

调查报告:

https://www.devo.com/resources/ponemon-soc-effectiveness-report-2019/

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。