Ponemon：SOC出效果要花多少錢

【按】本文不是譯文，包含了筆者我的體會和解讀。本文首發於我的微信公衆號——專一安管平臺，歡迎訂閱。

2020年1月份，Ponemon發佈了一份題爲《SOC的經濟學：出效果到底要花多少錢》的調研報告。調查代表：SOC花費不菲，效果通常，但意義重大。

經過對637份有效問卷【文中未說起地理區域，筆者估計受訪者主要是北美地區。此外受訪者所在單位人數最低1000人起】的分析，自建SOC的年均支出在286萬美圓。而使人意外的是，委建SOC（購買MSSP服務）的年均支出達到了444萬美圓，大幅高出自建SOC，與人們對MSSP的預期徹底不符。只有17％的受訪者表示他們的MSSP是「高效的」。此外，51%的受訪單位對於他們SOC檢測攻|擊的有效性表示滿意。而有44％的人表示其SOC的投資回報率正在惡化。

儘管SOC的投資回報率平平，但大部分受訪者依然將SOC視爲其網絡安全戰略的關鍵要素，尤爲是在下降誤報、報告安全情報方面。爲了達成效果，SOC十分依賴於專業的分析師去阻斷、檢測、分析和響應安全事件，而這些專業分析師的成本很高。爲了下降人員開支，很多單位轉而求助於MSSP，但回頭發現花費更多，於是陷入了惡性循環。

報告從五個方面進行了詳細分析：

1）當前SOC現狀

有31%的受訪者表示SOC必不可少，42%的受訪者表示SOC十分重要。SOC最重要的用處在於：下降誤報（84%）、報告威|脅情報（83%）、監控與分析告警（77%）、入|侵檢測（77%）、自動化和ML的運用（74%），等。

SOC最多監控和管理的設備依次是FW/IPS、UTM、IDS、漏掃、抗D、惡意代碼防禦、其它探針，等。

2）人是問題的關鍵

報告顯示，人（分析師）是SOC成功的關鍵，也是SOC支出的大頭。67%的受訪者表示培訓SOC分析師十分重要。同時，SOC運維/分析工程師的僱傭成本很高，受訪組織（基本是大型單位）的SOC平均有12個IT安全專家，僅僅是一級分析師的平均薪資就在10萬美圓每一年，其主力薪資（45%）在7.5萬~10萬美圓每一年。二級三級可想而知。同時，45%的受訪者表示2020年薪酬預計要上漲平均29%。

SOC須要的人多、人貴，而招人、育人、留人也難。調查顯示，招聘到一個分析師平均耗時3.5個月，培訓他/她又要花費3.8個月，但分析師在一個單位的平均供職時間只有27.2個月。此外，人員的流動性也很高。

從分析師的角度來看，乾的也很辛苦。70％的受訪者贊成，SOC分析師因爲高壓環境和工做量而很快就精疲力盡，這也是人員離職的關鍵緣由之一。

進一步研究分析師的痛處，則主要在於工做量增長（75％），24/7/365待命（69％），對IT和網絡基礎架構缺少可見性（68％），告警太多（65％）和信息超載（65％）。以下圖：

3）影響SOC成本的關鍵因素

先前提到自建SOC的年均花費是286萬美圓，這其中有146萬美圓是直接勞動力成本。

此外，被監控目標所在的邏輯位置、所處的行業、SOC自身複雜度、檢測攻|擊的有效性和所在單位的員工人數都會影響到SOC的成本。

簡單來講，針對本地數據中心進行監控的SOC成本高於移動和雲環境的，而針對雲/本地混合型進行監控的SOC成本最低；金融行業的SOC成本相對最高；SOC越複雜基本上成本也越高；SOC效果越顯著的單位成本也更高；單位人越多基本上成本也會遞增。

4）委建SOC的問題

如前所述，委託MSSP建設SOC的方式其實並不合算，所以，有40%的受訪者打算換回自建模式。23%的人打算更換供應商。

5）高績效SOC的特色

Ponemon針對637份問卷中134份自認爲本身的SOC檢測攻|擊十分有效的劃爲高績效SOC單位，而後將這組高績效SOC單位與總體SOC狀況相比較，發現了一些有趣的信息。

首先，高績效SOC單位認爲SOC對於總體安全戰略的重要性更高；高績效SOC單位的SOC複雜度略低於總體均值，團隊承壓性也更好，分析師更穩定，對將來發展向好的預期也更高。

【筆者的感想】

透過這份報告，儘管分析對象是北美地區，但對咱們國內也能夠作些類比。且不說自建委建孰優孰劣，對於大型單位而言，建設SOC的年投入成本確定也是數百萬（人民幣）級別的。不過，SOC建設成本的佔比在整個安全投入的比重確定仍是偏底。並且能夠確定的說，SOC建設成本硬件設備及軟件系統的佔比十分高，運維人員和分析師的成本佔比很低，甚至被忽略了。這就是國內外的一個重大差別。好多年前，我就反覆提到過。【譬如參見《信息安全的投資結構》、《安全管理平臺不等於SOC！》等筆者早前發表於51CTO的文章】Ponemon的報告至少指明瞭一點，建設SOC【其實更準確的說應該是運行SOC】人的投入是大頭（146除以286大於50%）。除了要關注選取合適的SOC平臺和工具，還須要花費大量的精力到使用SOC的人身上：如何創建人員團隊體系，如何選人、如何育人，如何用人、如何激勵人、如何留人。RSAC2020的主題是「human element」，這個報告發表於RSAC2020以前，但卻很好印證了這個slogan。 若是咱們國內如今不是這樣，那麼未來必定會變成這樣，遲早的事兒。

其實，SOC運維工程師/分析師的這個職業已經有了轉機，比較緊俏了。相信將來的需求量會急劇膨脹，缺口中期來看會很大。同時，在人手緊缺的情形之下，賦予工程師/分析師稱手的工具也顯得極爲迫切，這將有助於他/她們更好的分配本身的工做重心，聚焦核心能力的釋放。

最後，仍是要佩服一下老美調研的水平。囿於各類條件，筆者的分析大都是定性的，而他們老是會出具一些定量分析的報告（姑且不論質量高低），給到C Level的人看起來感受就是不同。調查研究、統計學……，在國內網絡安全領域仍是太少了。

【參考】

Ponemon：提高SOC的有效性

Ponemon調研報告揭示安全自動化和AI的價值定位以及與人的關係

信息安全的投資結構