近日，SANS研究所發(fā)布了《2024年SOC技術(shù)應(yīng)用調(diào)查報(bào)告》。調(diào)查結(jié)果顯示，許多組織仍在與困擾他們多年的SOC技術(shù)應(yīng)用問(wèn)題作斗爭(zhēng)，這些問(wèn)題包括缺乏SOAR等高級(jí)功能、人員配置需求高、缺乏熟練的運(yùn)營(yíng)分析師以及可見(jiàn)性不足等。以下收集整理了本次報(bào)告的一些核心觀點(diǎn)和發(fā)現(xiàn)：

1.基于云的SOC服務(wù)模式成為新的頂層架構(gòu)

報(bào)告調(diào)查認(rèn)為，目前“基于云”的SOC服務(wù)模式現(xiàn)在已經(jīng)超過(guò)了“單一中心”的SOC，成為最常見(jiàn)的SOC技術(shù)架構(gòu)。遷移上云的趨勢(shì)已經(jīng)在IT界持續(xù)了很多年，現(xiàn)已延伸嵌入到SOC架構(gòu)中。云混合SOC最終將成為企業(yè)首選的SOC。安全將來(lái)自于云，服務(wù)于云，這是一個(gè)重大的改變，將迫使未來(lái)安全運(yùn)營(yíng)的人員、流程和技術(shù)保持一致。

2.“SIEM一切”變得更為常見(jiàn)

當(dāng)詢問(wèn)受訪者“如何處理SOC的海量數(shù)據(jù)”的問(wèn)題時(shí)，他們似乎都不太愿意花太多精力去過(guò)濾東西，而是把所有東西都傾倒到SOC的日志處理分析系統(tǒng)（SIEM）中（見(jiàn)下圖）。這個(gè)答案似乎與安全運(yùn)營(yíng)的發(fā)展要求相違背，但相比在收集數(shù)據(jù)前花費(fèi)大量精力去弄清楚實(shí)際需要什么，“SIEM一切”的數(shù)據(jù)處理方式，顯然對(duì)安全運(yùn)營(yíng)團(tuán)隊(duì)來(lái)說(shuō)更具成本效益。

3.集中式架構(gòu)比例有所增加

企業(yè)組織構(gòu)建SOC的方法有很多。擁有一個(gè)集中式SOC是其中最常見(jiàn)的方法（如下圖所示），403名受訪者中有242名（60%）受訪者如此認(rèn)為。與2023年的49%和2022年的53%相比有所增加。

4.自動(dòng)化威脅狩獵應(yīng)用不斷增長(zhǎng)

威脅狩獵的主要目標(biāo)是尋找還沒(méi)有被威脅檢測(cè)系統(tǒng)發(fā)現(xiàn)到的漏洞，有一種重要但簡(jiǎn)單的狩獵方法就是將新發(fā)現(xiàn)的指標(biāo)應(yīng)用于歷史數(shù)據(jù)存儲(chǔ)庫(kù)。

在詢問(wèn)“威脅狩獵活動(dòng)是否自動(dòng)化”時(shí)，46.1%的受訪者表示他們使用供應(yīng)商提供的工具實(shí)現(xiàn)了部分自動(dòng)化（如下圖所示），同比去年增長(zhǎng)了8.1%

報(bào)告認(rèn)為，使用更新的威脅指標(biāo)（IoC）進(jìn)行追溯分析只是最低限度的獵殺，真正的威脅狩獵需要對(duì)以前未被發(fā)現(xiàn)的東西進(jìn)行深思熟慮地探索。建議是，持續(xù)深入進(jìn)行自動(dòng)化追溯分析，并努力進(jìn)行復(fù)雜的獵殺。

5.AI/ML技術(shù)應(yīng)用滿意度仍不容樂(lè)觀

去年，SANS首次將AI/ML添加到其技術(shù)滿意度分析列表中，結(jié)果它排在最后一名。今年，情況有所變化，但仍不容樂(lè)觀。報(bào)告發(fā)現(xiàn)，從2023年到2024年，計(jì)劃實(shí)施AI/ML的SOC項(xiàng)目比例呈現(xiàn)下降趨勢(shì)：從2023年20.5%的組織表示計(jì)劃實(shí)施降至2024年的10.6%。

此外，已經(jīng)購(gòu)買這些技術(shù)的買家是否存在“后悔情緒”，SANS每年都會(huì)提供基于GPA的評(píng)分。2023年，AI/ML的GPA為2.17，僅擊敗了GPA最低的網(wǎng)絡(luò)數(shù)據(jù)包分析（2.15）。今年，它再次排在倒數(shù)第二，但平均績(jī)點(diǎn)更低，僅為1.99。

6.運(yùn)營(yíng)分析師的平均任期增加

專業(yè)人員配備一直是SOC應(yīng)用中最受關(guān)注的問(wèn)題。只有通過(guò)熟練的分析師，SOC系統(tǒng)才能在真實(shí)安全運(yùn)營(yíng)場(chǎng)景下表現(xiàn)良好。所以分析師的留存率是SOC系統(tǒng)應(yīng)用的一個(gè)長(zhǎng)期挑戰(zhàn)。本次調(diào)研結(jié)果顯示，具備3到5年任期經(jīng)驗(yàn)的人員比例，略高于1到3年任期，這對(duì)組織來(lái)說(shuō)是一個(gè)積極的趨勢(shì)。

那么，究竟是什么因素促使SOC分析師留下來(lái)？調(diào)查結(jié)果顯示，工作成就感對(duì)員工的意義愈發(fā)突出，已成為首要驅(qū)動(dòng)因素。如今，組織對(duì)一級(jí)診斷和分析的自動(dòng)化程度不斷提高，這使得SOC分析師能夠?qū)Ｗ⒂诟邞?zhàn)略性和智力刺激的活動(dòng)，例如威脅獵殺和高級(jí)事件響應(yīng)，進(jìn)而緩解分析師的職業(yè)倦怠問(wèn)題。

7.SOC技術(shù)滿意度分析

本次報(bào)告對(duì)SOC系統(tǒng)中廣泛涉及的47種技術(shù)進(jìn)行了調(diào)研。如下圖所示是對(duì)處于已部署狀態(tài)的各種技術(shù)的滿意度評(píng)分，結(jié)果表明，滿意度更高的是EDR/XDR、VPN、SWG/SEG、SIEM、NGF、MPS、IDS/IPS、持續(xù)監(jiān)控和評(píng)估、DoS/DDoS防護(hù)、端點(diǎn)OS監(jiān)測(cè)與日志分析、惡意軟件防護(hù)、DNS防火墻、網(wǎng)絡(luò)流量監(jiān)控等。

滿意度較低的技術(shù)包括：AI和ML、欺騙技術(shù)（如蜜罐）、網(wǎng)絡(luò)連接分析、全包捕獲、網(wǎng)絡(luò)流量分析。此外，受訪者對(duì)SOAR、威脅情報(bào)平臺(tái)（TIP）、威脅獵殺、數(shù)據(jù)丟失防護(hù)、SSL/TLS流量檢測(cè)等技術(shù)的應(yīng)用滿意度也不太高。

值得一提的是，盡管本底調(diào)查顯示GPT技術(shù)應(yīng)用的滿意度較低，只獲得了51個(gè)肯定回復(fù)。但報(bào)告分析師認(rèn)為，GPT可以成為未來(lái)SOC應(yīng)用優(yōu)化的推動(dòng)者，以優(yōu)化溝通并提升分析師對(duì)信息理解，但它還不能取代分析師。

8.SOC系統(tǒng)應(yīng)用面臨的挑戰(zhàn)

在被問(wèn)及“組織在應(yīng)用SOC時(shí)目前面臨的最大障礙是什么？”時(shí)，18.3%受訪者回答了“缺乏自動(dòng)化響應(yīng)和編排”功能，緊隨其后的兩個(gè)答案是直接相關(guān)的——“高員工需求”（14.4%）和“缺乏熟練員工”（14.2%）。第四個(gè)常見(jiàn)的挑戰(zhàn)則是缺乏企業(yè)級(jí)的可見(jiàn)性，占比12.9%。其他挑戰(zhàn)還包括安全、應(yīng)急響應(yīng)和運(yùn)營(yíng)人員間的孤島思維，缺乏管理支持，太多工具未能實(shí)現(xiàn)集成，缺乏上下文關(guān)聯(lián)，警報(bào)疲勞，缺乏操作流程和指南以及合規(guī)要求等。

9.SOC應(yīng)用性能的度量指標(biāo)

報(bào)告認(rèn)為，SOC的使用性能需要通過(guò)指標(biāo)來(lái)評(píng)估。其中，外包項(xiàng)目（滲透測(cè)試、取證、威脅情報(bào)和警報(bào)分類）最常見(jiàn)的衡量指標(biāo)是處理的事件數(shù)量。緊隨其后的指標(biāo)還包括根除的徹底性（沒(méi)有復(fù)發(fā)的原始或類似妥協(xié)）、從發(fā)現(xiàn)到遏制再到根除的時(shí)間、由于已知/未知漏洞而發(fā)生的事件等等。

原文鏈接：https://torq.io/resources/sans-soc-survey/