在大多数安全团队的眼中,安全运营中心(security operations centers ,SOC)于网络安全项目中发挥着关键作用。然而企业内部目前正面临着一些影响SOC绩效的挑战,其中包括信息超载、员工倦怠以及人才保留等问题。这些数据均来自网络安全公司Devo此前对全球范围的SOC领袖(553名)及其员工(547人)进行的独立采访。其结果也进一步验证了安全团队越来越难以执行安全任务这一事实。
SOC团队存在多项痛点,领导者和员工相继考虑辞职
根据Devo公司在2022年的Devo SOC业绩报告,SOC的专业人员正面临着重大挑战。无论是SOC领袖,还是团队中的员工都在不断努力地解决一些反复出现的影响性能的问题。此外,Devo的研究结果还显示,组织面临的一些关键的SOC问题可以追溯到2020年初,全球新冠疫情开始爆发的时候。
报告显示,SCO团队中,无论是领导者,还是员工,都有相当数量的成员分别遭受着不同方面的挑战。其中,信息超载带来的一系列头痛问题、工作负载增加导致的员工倦怠,以及人才引进和保留问题最为常见,其提及率各占大约三分之一。同时,一年365天,全天24小时待命的工作状态也在持续消磨着SOC成员的精力。另一方面,SOC中的领导者与员工又各自面临着不同的挑战。对于领导者来说,SOC对组织整体网络安全的投资预算有限,十分令人苦恼。而站在员工的角度,无法对大量的威胁进行优先级判断,过多的安全工具操作困难,以及需要解决的安全预警数量过多等问题也都直接影响着自己工作的效率与进度。
报告还指出,受访者认为导致SOC效率低下的主要原因包括三个方面:缺乏对攻击面的可视化能力(60%领导,45%员工),缺乏优秀技术人员(50%领导,48%员工),以及过多的误报(30%领导,35%员工)。
SOC团队人员要求改善压力管理,自动化能力以及假期时长
除了主要的痛点外,受访者还被问及自己对组织的建议,用来帮助那些经验丰富的SOC团队缓解所面临的挑战。其中SOC员工提出的建议主要包括:设置压力管理项目和心理咨询(41%)、帮助确定事件和任务的优先级(37%)以及改善工作流程的自动化(37%)。而在SOC领袖的意见中,高级分析/机器学习(39%)、更好的支持和认可(38%)以及更多的带薪休假时间(35%)热度最高。
安全运营比两年前“更加困难”
ESG最近的研究结果与Devo报告中强调的问题相互呼应。该研究详细说明了导致SOC团队执行安全运营任务变得困难的五个原因。其调查结果显示,近一半的安全专业人员都意识到:如今的安全运营比两年前的更加困难。其中造成这种情况最主要的五个原因如下:
• 威胁格局的快速演变和不断变化
• 攻击面的扩张
• 安全预警的数量和复杂程度的提升
• 公有云的应用
• 安全技术维护与供应的需求
ESG的发现为各个组织点明了关键:随着威胁、IT、安全预警以及安全工具的扩张,SOC的现代化工作必须以提升其团队的生产力为目标,以便能够扩大自己所能处理的最大工作量。这就意味着需要有更智能的技术、更好的培训以及结构化的可重复流程。
SOC面临的挑战符合SOC专业人士的要求
当被问及影响SOC性能的最大挑战和摩擦时,SOC专业人员的想法同Devo和ESG在其研究中强调的许多问题不谋而合。安全预警疲劳是一个特别的问题。重复的误报不仅会让分析师感到疲劳,而且会分散员工的注意力,并且可能还会耽误安全人员对真正严重的威胁做出及时响应。而主要的解决方案则是进行有效的调优。克服这一问题的关键挑战是需要获得分析师的投资,以确保能够尽快利用调优机会。并且,在无法进行调优的情况下,自动化能力是十分必要的。因为这样才能帮助分析师腾出更多的时间来尽可能多地完成那些需要人工处理的工作内容。同样,这里的挑战则是需要确保:在误报产生之前,最初的努力都投入在了对这些行动进行自动化的工作上。”
另一方面,首次修复问题的挑战也很重大。当事件升级时,理想情况下,组织希望能够通过自己所掌握的工具和信息来解决事件。然而在某些情况下,这是无法实现的,组织还需要进一步的上下文。其挑战在于,组织要确保在所有的情况下,都进行了尽可能多的调查和响应。而解决这个问题的关键是对分析师进行高效的培训以及有效的安全策划。综合这两个解决方案,组织可以确保分析师在提出问题之前,就已经进行了详细的调查,而这也有助于对响应进行标准化。
最后是轮班模式的问题。由于分析师需要在晚上和周末之间进行班次的轮换,所以需要找时间对分析师进行一对一的培训。白班通常是最繁忙的时段。组织可以通过提前预定时间来回顾以往的事件,从而克服该挑战。这个时间不仅可以用来培训,同时也实现了对质量的控制。提前几周预订也意味着时间表是明确的,团队会意识到此段时间已经被搁置。
SOC团队面临的挑战并不一定是繁重的工作负载与休闲时间的匮乏,而更有可能是工作内容的单调与枯燥。单调的工作就像一个打地鼠游戏,客户每次都面临着相似的攻击和问题,他们向SOC寻求帮助,于是SOC便在不同的领域处理着相同的问题。当团队成员的工作职责缺乏多样性时,他们往往无法明确自己的职业发展,因为他们并没有学习新的技能,也没有更好地理解自己的兴趣所在。因此,组织可以实施一种轮岗制度,允许团队成员在不同的岗位上轮换,包括分析、监控以及项目时间管理。在这种制度下,员工有时会把时间花费在排队上,有时又可能会专注于威胁情报或应用程序安全,甚至是培训和研究。让团队中的成员花时间来找到自己的兴趣所在是非常重要的。同时也需要让他们充分参与不同的工作内容,这样他们才能够真正找到合适自己的岗位或部门。
数世点评
自新冠疫情爆发以来,居家办公的情况日益普遍,这势必会带来全新的威胁与攻击渠道。由此,安全预警数量及复杂程度的激增与安全信息的超载也是组织必然要面对的。至于员工的倦怠与专业人才的流失,归根结底还是由于工作量的繁重与工作内容的枯燥。为了跟上不断增长的安全工作需求,增加工作人员的数量与个体的效率并非唯一的手段,合理的分工以及更大范围的自动化流程亦是需要重视的。但需要注意的是,自动化的实现过程中亦存在着更多不同的挑战,若无法合理应对,势必会催生出新的问题,那么所有努力只会适得其反。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。