SANS：2018年SOC調查報告

2018年8月份，SANS發佈了第二次SOC調查報告。

標題"The Definition of SOC-cess?"能夠理解爲：如何定義SOC的成功（success）？
整體上來看，今年的狀況跟去年差很少。

SANS對SOC的定義是：SOC是人、流程和技術的結合，它經過主動的設計和配置、持續地系統狀態監測、檢測意外動做和非預期狀態去保護組織的信息系統，力圖儘量地下降不良影響形成的傷害。（A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.）
同時，SANS認爲SOC成功的標準是其是否有效干預了對手企圖破壞組織資產可用性、機密性和完整性的嘗試。通常地，SOC經過主動地把系統變得對損害更具彈性，以及更加快速地檢測、遏制和消除對手的能力來作到這一點。（We define the success criterion for a SOC as: when it intervenes in adversary efforts to impact the availability, confidentiality and integrity of the organization’s information assets. It does this by proactively making systems more resilient to impact and reactively detecting, containing and eliminating adversary capability.）
SANS發現，SOC彷佛是一個很大很複雜的系統，但實際上31%的SOC團隊只有2到5我的。

而另一個安永針對1200個組織（其中大部分是大型和有錢的單位）的調研顯示，48%的受訪者沒有SOC。

SANS從SOC的能力和SOC的架構兩個方面進行了調研。
SOC團隊主要作什麼？

從上圖能夠看出來，SOC的主要活動包括：應急響應（96.8%的受訪者表示）、安全監測與檢測（96.6%）、SOC架構與工程化、安全管理、數據保護與監測、修復、安全規劃，等等。上圖還顯示了每一個活動是本身內部完成，仍是藉助MSSP來達成，抑或二者結合的比例。能夠看出，SOC團隊本身搞的比例比較高。

不一樣行業的SOC團隊規模，並無顯著的趨勢：

SOC的部署架構（模式）：

能夠看出基於雲的SOC比重仍是比較低的。

如上圖所示，在將來十二個月的規劃中，依然是自建大集中式的SOC爲主，但云SOC的比重稍有增長，同時建設正規SOC的意願更強，以下圖：

僅有54%的SOC創建了SOC度量指標，SANS表示「這不是一個好現象」。至於通常都創建了哪些指標，以下圖所示：

這個圖我仍是比較感興趣的。報告還說起了一些小衆的指標，譬如：處理中高級問題的耗時（仍是陷入告警的茫茫大海？）、釣魚事件計數、威脅獵捕相關的統計性數據。
針對上述度量指標，大部分依然仍是手工計算，以下圖所示：

我我的認爲，要想真正作到度量自動化是很難的，首先就是對指標的一致化的清晰的定義，這一點就很難。須要在度量的有效性和度量的可行性之間取得一個平衡。

SOC用到了哪些安全技術和工具？

上圖也算是一個SOC技術流行度的排行。
對這些安全技術和工具的滿意度如何？

SANS將排第一的NGFW給出了B+的評分，而對最後一位的資產發現與管理的滿意度評定爲F。
須要注意的是，SOC高度依賴人的技能和經驗，所以，不一樣水平的人對相同的技術評判是不一樣的。我我的建議你們能夠關注最滿意的和最不滿意的幾個技術。

觸發響應流程的告警來源，或者說SOC分析師主要看什麼日誌來觸發應急響應，以下圖：

能夠看出，主要看終端，IDS，IPS和防火牆的告警，其次是SIEM告警。也能夠看出通常都要看多種告警，而不會集中到某個點上。此外，異常檢測的結果、威脅捕獵的結果和威脅情報也很重要。
對多源數據的關聯分析，主要依靠SIEM，以下圖：

說明SIEM依然是事件分析的核心。

響應方式這塊，以下圖所示，大部分都作到了響應流程與SOC的集成：

針對不一樣的相應技術，整體的滿意率較低，起碼低於SOC技術和工具的滿意度。最滿意的網絡取證分析技術也僅僅被SANS評定爲C。

這個圖值得本身研究一番。

SOC面臨的主要挑戰以下圖所示：

合格的人才依然是最大的問題。究其緣由，SANS認爲SOC這個活自然就是一個複雜高難度的事兒，涉及面太廣，不只是技術面要求廣，業務面也很廣。那麼可否搞出一個NB的技術和工具下降對人的要求呢？我我的認爲，目前看還不現實，從前面的分析能夠看到目前對於AI和ML的滿意度依然很低，並且新出現的一些技術對人的要求更高。

SOC對智能設備，包括工控、物聯網的管理程度還比較低，但應該予以重視。

SANS特別強調了基於行爲基線來進行相對較爲封閉的IoT設施的安全監測的方法。

SANS結論：如下問題依然阻礙着SOC的發展。
1）缺少有效的和集成化的工具；
2）缺少有效的資產發現與管理技術；
3）自身組織內部的隔閡與分立；
4）人員缺少，關鍵技能缺少；
5）自動化的有效性還不夠，關聯分析能力還有差距；
6）對SOC成功的定義和度量還很缺少。

SANS最後表示：A key finding of the survey was that only about half of the SOCs are using metrics. Not only are meaningful metrics critical to running an effective SOC, but they are absolutely mandatory to have any chance of persuading management to provide the resources needed to overcome the barriers identified in the survey.

後續，我還將繼續根據這份報告結合我我的體會發表觀點，敬請關注。

【參考】
SANS：2017年SOC調查報告

SANS：2018年網絡威脅情報現狀調研報告
SANS：2017年網絡威脅情報現狀調研報告
SANS：2016年網絡威脅情報現狀調研報告

SANS：2016年安全分析調研報告
SANS：2015年安全分析與安全智能調研報告
SANS：2014年安全分析與安全智能調研報告
SANS：2013年度安全分析調查報告

SANS：2014年日誌管理調查報告
SANS：2012年度日誌管理調查報告
SANS：2011年度日誌管理調查報告
SANS：2010年度日誌管理調查報告