根據(jù) Exabeam 的調查，絕大多數(shù)人覺得 SOC 的威脅檢測能力很可靠，但組織并沒有因為此而變得更安全。技術上向 SOAR 發(fā)展，而人員短缺的情況也要得到重視。

Exabeam 在 2020 年發(fā)布的 SOC 調查報告中發(fā)現(xiàn)，82% 的 SOC 人員對檢測威脅的能力充滿信心，但只有 22% 的人統(tǒng)計過平均檢測時間(MTTD)。

這種毫無理由的自信讓 39% 的公司仍然陷在缺少 SOC 人員的泥潭中，并且一直在尋找合格的人才來彌補缺口。

調查在美國、英國、加拿大、德國和澳大利亞展開，共計 295 個調查對象。此外，還針對分析人員和 SOC 管理層如何看待安全運營、人員招聘、人員配置、人員培訓和資金花費等方面的內容展開了調查。

“從 2018 年到 2019 年，DWELL 時間(攻擊發(fā)生到發(fā)現(xiàn)攻擊的時間間隔)實際上是正在增加的，但這份調查報告中發(fā)現(xiàn)大家對網(wǎng)絡威脅檢測能力的信任是令人驚訝的”，Exabeam 首席安全策略官Steve Moore如是說。

這種不平衡可能是由于 SOC 管理層和一線分析人員對組織面臨的最常見威脅沒有達成共識。SOC 管理層人為網(wǎng)絡釣魚和供應鏈漏洞是問題的核心，而分析人員常常將DDoS 攻擊和勒索軟件視為更大的威脅。

技術趨勢

中小型公司最關心的是停機時間或業(yè)務中斷，占比達到了 50%。他們不認為威脅狩獵是一種操作模式，而是將威脅狩獵作為一項必不可少的技能挑選出來(61%)。其他發(fā)現(xiàn)如下所示：

• 美國的 SOC 外包比例同比下降(36% 下降至 28%)
• 英國的 SOC 外包比例同比上升(36% 上升至 47%)
• 德國的 SOC 外包比例為 47%，主要是提供威脅情報服務
• 澳大利亞的 SOC 運營情況不容樂觀，需要進行更新升級

對 SOC 來說，監(jiān)控分析、訪問管理和日志記錄都是重中之重：

• 超過一半的 SOC 記錄了 SIEM 中至少 40% 的事件
• 英國對日志記錄的利用最多
• SOC 普遍缺乏創(chuàng)建檢測邏輯、驗證、調整和報告的能力(35%)

為此，大多數(shù)人都希望在未來的幾年中，安全編排、SOAR 能夠得到優(yōu)先發(fā)展。

SOC 人員短缺

SOC 留住人才的主要因素是：公司福利、高薪和積極向上的企業(yè)文化。有些情況仍然值得注意：

• 美國有 23%、加拿大有 35% 的 SOC 配備人員不足十人
• 64% 的一線員工表示缺乏職業(yè)發(fā)展是離職的主要原因
• 效果較差的 SOC 認為在技術、培訓和人員上都缺乏必要的投入