【注:本文不是译文】

2021年1月份,Ponemon针对2020年初做的《SOC经济学》调研报告出了一个续集。在第二年度的《SOC经济学:出效果到底要花多少钱》的报告中,更多的受访者(80%)认为SOC是必不可少、甚至是十分重要的,而2020年的报告显示这个数字是73%。

本次报告的最终采纳调研样本是682份(发出了17200份),并且访谈对象基本都是各单位SOC相关的中高级管理者,他们的行业分布分散,单位规模都是中型以上。报告显示:

  1. 疫情对SOC的运行产生了显著的影响,超过三分之一的SOC团队被迫采用远程运行的方式,超过一半的的人表示他们的工作受到了疫情的影响。如何保障员工远程办公的安全性成为了SOC的一项焦点工作,而国家级的攻击以及犯罪组织的攻击在SOC团队心中的阴影面积进一步加大。

  2. 好消息是SOC运行人员日益受到重视,30%的组织表示2021年的SOC团队规模将扩大到6~10人。更重要的,是薪资的蹿升,调研显示同比去年将提升32%。不过人也变得更累了(75% VS 70%)。

  3. 坏消息是SOC的投资回报率同比上一年度下降了。超过一半的受访者表达了这个观点。导致下降的原因可能是SOC复杂度问题,SOC还是太复杂了。在采用MSS的成本方面也有较大幅度的提升:2020年的平均成本在530万美元,相较而言,2019年的平均成本约为444万美元,提高了20%。

  4. 通常SIEM是SOC工具集合的大头,但是报告显示,现如今花费的最大头变成了SOAR,其次是XDR。为什么?答案很明显。SOC的复杂性和人手的不足呼唤自动化、呼唤更聚焦和简化的运行平台。

今年的报告跟去年的在调研内容上大体一致,从而更容易进行对比分析。报告依然从5个方面进行了分析。

1)当前SOC现状

下图展示了受访者心目中最重要的SOC活动的排序:

通过两年对比,可以看到降低误报(88%)依然位居第一,敏捷的DevOps(85%)蹿升至第二,威胁情报从第二降到第三,自动化和AI上升一位到第四(80%)。

下图展示了SOC的8大核心服务

可以发现,管理FW/IPS依然位居第一,其次是IDS、UTM、抗D、恶意代码防护、漏扫、威胁猎捕、事件响应与恢复。

有意思的是,尽管更多的人(81%)认为事件响应(IR)比以往更为重要,但却在SOC核心功能中位居第八。这说明,用户需求与SOC实际并不匹配。

这次Ponemon还做了一个SOC收集数据类型的调研,结果如下:

可见,收集的日志类型还是传统的日志类型位居主流,EDR勉强超过一半,NDR就没有列入问题选项。

2)人是SOC的关键

首先是人的薪资在增长,其次是SOC团队规模在扩大,随着而来的是压力还在增加。

下图展示了SOC工作的痛苦原因排行榜

可以发现,很多痛苦在加剧,譬如工作负担不断加重、7*24*365全年无休、信息过载、情报有效利用问题、SOC复杂度和混乱程度。有些痛苦有所改善,譬如网络和IT基础设施的可见性(应该是得益于更好的工具)、专业人才招聘难度(单位的确更重视了,从业者队伍也在扩大)。

3)SOC工具的预算情况

在去年的报告中,没有这个内容。当时第三部分讲的是“影响SOC成本的关键因素”。

在去年的报告中,给出了自建型SOC的年均开销是286万美元。在今年的报告中,给出了安全工程上的年均开销271万美元。两者统计口径有变化,无法评判说自建型SOC的年均开销是增长了还是下降了。报告也没有明示。

但在今年的报告中,特别对几项当下热门的SOC工具/技术的花费进行了分析,如下图所示:

正如本文开头所述,SOAR成为当下SOC领域的重点投资对象,其次是XDR、MDR,然后才是SIEM。

更进一步,报告还分析了SOAR的实际用途

报告显示,SOAR主要是用来进行告警和事件分析,其次是对这些告警和事件(案例)进行丰富化,遏制和修复则排在更后面。有何感想?R(响应)怎么跑后面去了?这个调研结果很有趣,给我们展示了SOAR的一类更普遍的使用场景,笔者在国内进行SOAR布道时也常常提及这个点。

4)委建SOC的问题

在MSS这块,正如本文开头所述,相较于去年,用户采购MSSP的年均开销进一步上升,从2019年的444万美元升到2020年的531万美元。不过好消息是MSSP的服务效果有所提升,从2019年的42%上升到2020年的52%。尽管如此,依然还有38%的受访者计划将委建SOC转为自建SOC。

5)高绩效SOC的特点

报告从505个受访者中抽取了177位自认为自己单位SOC效果很棒的作为高绩效SOC的样本群,然后将这177个样本数据与整体数据进行对比分析。

报告显示,高绩效SOC更倾向于认为自己的SOC对于本单位的整体网络安全战略是十分重要的;高绩效SOC团队也认为SOC过于复杂(尽管比重低于整体值,但绝对值依然在72%);高绩效团队的承压能力更强(但是受压程度反而要略低于总体水平),人员配置更多,离职率也更低,队伍更稳定,受疫情影响也更小。

笔者感想

建议结合笔者去年报告的感想来看今年的感想。

首先,现在国内的安全体系建设正在从这一轮的采购期向这一轮的运行期转移,而新一轮的建设模式也在从采购模式向自身能力建设模式提升,采购模式又在从买产品向买服务转变。这些变化带来的结果之一都是对SOC的日益重视。但SOC的运行/运营成熟度还达不到我们对它的期待。这不仅是SOC本身固有的问题,也是现在多变、恶化的威胁造成的。SOC运行的本质还在于人,这是安全的对抗性决定的。所以,对人的重视和投入很大程度决定了SOC的效果。

其次,为了尽可能地提升SOC的效果,技术层面也并非无能为力,SOAR、XDR、MDR,以及融入更多AI/ML和大数据技术的SIEM也都在想方设法地提升SOC的自动化水平和检测分析能力,降低SOC固有的复杂性,这些都在呼唤SOC的再造。事实表明,技术还是有效的,但投入也是不菲的。

尽管SOC的投资回报率还在下降,但面对更加恶化的风险时预期损失的升高,将迫使人们持续加大对SOC的投入。所以,重要的不是做不做SOC,而是如何做SOC。如何做?此处就提一点:必须均衡地在人员、流程和技术三个方面进行持续投入。

最后,留一个引子,2020年整年我们都在思考实战化、体系化、常态化的安全运行/运营需要一个什么样的技术平台。为此笔者提出了一套未来SOC平台设计的新理念,等待时机分享。

【参考】

Ponemon:SOC出效果要花多少钱

Ponemon:提升SOC的有效性

Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。