SANS：2019年SOC調查報告

概述

2019年7月，SANS發佈了第三次SOC調查報告，題爲《SOC的通用和最佳實踐》。SANS主要針對歐美國家的大中型SOC客戶（含MSSP）進行了調研，結果顯示：

１）通往卓越SOC之路的最大障礙是專業|人員的缺失（58%）和缺少有效的編排與自動化（50%）。

２）依照NIST CSF框架，最滿意的技術是保護階段的訪問控制/虛擬專網（87%），而最不滿意的技術是檢測階段的AI/ML（53%）；

３）AI/ML和自動化能夠助力專業|人員，但沒法取代他們。

SANS建議優先從如下幾個方面考慮持續改進SOC：

１）            更專一於SOC可以提供什麼應用場景和服務，而不是一味地購買新技術；

２）            創建一套有效的人員培養、成長和保留策略，提供良好的職業發展路徑。對於本就很少的人手而言，人員穩定性更爲關鍵；

３）            多考慮使用MSSP的服務；

４）            增強SOC與NOC的協同合做。

今年SANS對SOC的定義沒有發生變化，依然表述爲：SOC是人、流程和技術的結合，它經過主動的設計和配置、持續地系統狀態監測、檢測意外動做和非預期狀態去保護組織的信息系統，力圖儘量地下降不良影響形成的傷害。（A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.）

SOC人員

超過三分之一的受訪者所在的企業和組織中只有2~5名專職的SOC人員。這一結果跟2018年的調查基本同樣，沒有什麼變化。

SOC主要幹什麼

如上圖所示，跟2018年比變化也很小，DLP的位置略微有所提高。主要的活動包括：應急響應、安全監控與檢測、DLP、安全管理、修復，等等。

此外，SANS十分看重SOC服務和能力的交付方式，即每種能力經過自建、委建（MSSP）和共建三種方式交付的佔比狀況。從調研結果來看，全部活動都是自建佔主導位置，其次是共建，委建佔比仍是比較低，並主要集中在***測試、紅藍紫對抗方面。

SOC的部署架構

以下圖所示，SOC的部署模式依然仍是以單一集中式部署爲主，分佈式部署和雲部署的狀況在逐步增長。

SOC的度量指標

對SOC的效果進行度量已是一項十分迫切的工做了。SANS列舉了一些指標，包括：處理的安全事件數量、從檢測到遏制和根除的時間（相似咱們常常說的MTTD、MTTResponse、MTTRecovery等）、關閉的安全事件數量、受SOC保護的系統的風險值、由已知或未知漏洞致使的安全事件數量/比例、找出全部受影響的資產和用戶所花費的時間、每一個安全事件形成的故障時長、溯源到的威脅行爲體數量、全面IOC檢測的完全性（覆蓋度）和準確性、問題根除的完全性（複發率）、安全事件避免的可能性、安全事件花費的金錢成本、形成的損失與挽回的損失之比。

對於如何構建有效的度量網絡安全的指標是當下的一個熱點。Dark Reading在近日採訪了多位網絡安全廠商的技術專家，讓他們給出了本身心目中可能帶來誤導的20個指標。這20個所謂糟糕的指標描述在安全牛上有中文譯文。能夠說，若是脫離具體的應用場景和上下文，缺乏輔助指標，缺少度量的連續性和一致性，任何單一的指標在表達上都存在缺陷。咱們須要一套有針對性的、互相關聯的指標集合，而且可以進行持續的度量。

SANS在報告中也認可，要創建一套真正反映SOC運行效果的指標是很難的事情，要想算出形成了多大損失，挽回了多少損失也是很難的事情，至少數據來源就是模糊了。但有估算總比沒有估算好，有指標（固然不能是爛指標）總比沒有指標好。

下圖進一步揭示了在進行指標度量時的自動化水平：

能夠看出，徹底自動化得到度量值的比例只有10.7%，其它的則要麼徹底手工計算，要麼或多或少依靠手工計算。

SOC用到了哪些技術和工具

2018的調研是直接開列了40種技術和工具，今年則首先依照NIST的CSF（網絡安全框架）將各類技術映射到了6個階段（IPDDR——識別/保護/檢測/響應/恢復），而後分別針對每一個階段具體分析。

１）            識別：

識別階段就是咱們如今所稱的「看見」的過程，包括看見系統、人員、資產和數據，看見它們的靜態屬性和動態屬性，看見他們的運行狀態，並評估出他們的風險。SANS列出了三種識別階段最關鍵的技術：SIEM、風險分析與評估、資產發現與管理。

２）            保護：

保護階段就是對關鍵資產進行防禦，確保其持續地提供服務。SANS的調查顯示，在保護階段，滿意度最高的技術是邊界防禦類技術。SANS列舉的保護技術/工具包括：web代理、WAF、SSL流量解密、NGFW、NAC、惡意代碼檢測、內容過濾、DLP、應用白名單和虛擬專網。

３）            檢測：

檢測階段涉及的技術和工具最爲豐富。一方面由於檢測之難，技術路線之多，另外一方面也是檢測之重要。這個階段滿意度最高的是基於網絡的檢測技術。滿意度最低的技術則來自於AI和ML。SANS認爲AI和ML對於加強分析師的能力確實大有裨益，但當前人們對AI和ML正處於炒做的高峯期，能力被過渡渲染，以致於落差太大了。SANS針對這個階段列舉的技術包括：UEBA、威脅情報、SOAR、包分析、NTA、IPS、流分析、全包捕獲、取證、AI/ML、SIEM、DNS日誌監控、EDR、持續監控與評估、應用日誌審計，等。

４）            響應：

響應階段就是針對檢測階段發現的安全事件進行響應處置的過程。SANS在此階段列舉了3種技術：欺騙、抗D和EDR。SANS認爲EDR在中型市場的***率穩步提高。

５）            恢復：

恢復是指保持網絡彈性，或者將受到安全事件影響的能力和服務進行恢復的過程。SANS列舉了三種恢復技術：弱點修復、基於虛擬化技術的系統更新、勒索修復。

SOC面臨的主要挑戰

今年的調研結果與去年的調查基本一致，以下圖所示：

SANS將上述問題總結爲四個方面：

1）「生活中不可避免地現實」。這個比喻很形象，你永遠也找不到足夠的資源，也沒有必要去找齊，而管理層的支持是一個永恆的話題。

2）治理問題。SOC是一個複雜的系統，不只在於其技術，更在於其衆多的干係人。作好SOC不少時候都受限於那些腦殼們的屁股在哪裏，解決之道就在於同理心，多贏思惟。

3）缺少整合以及SOC流程的成熟度問題。

4）技術問題。

其它

應急響應（IR）

IR是安全運營中必不可少的重要環節。94%的受訪者表示IR能力依靠自建，而且這些自建的受訪者中有77%都是將IR團隊做爲SOC團隊的一部分。能夠說，IR和SOC合體是當下主流。

對於IR團隊和SOC團隊的關係，Gartner也曾專門進行過討論，分爲三種狀況：IR做爲SOC的一部分、IR放到CIRT中並與SOC保持獨立、IR的工做分散到SOC和CIRT中。三種狀況的利弊分析以下：

 

知識管理

SANS認爲知識管理十分重要。將安全事件的處置過程和結果記錄下來，將安全運營的經驗記錄下來，不只能夠提升本身將來處置安全事件的效率，更是一個團隊的積累和傳承。當咱們抱怨人手不足的時候，當咱們抱怨人員團隊流動性高的時候，當咱們抱怨反覆處理之前遇到過的問題的時候，請重視知識管理。

SANS的訪談顯示，小型SOC用戶通常會用SharePoint作知識管理；而大型SOC用戶則較多使用JIRA做爲工單系統，用Confluence做爲協同系統，用ServiceNow或BMC Remedy作工單，但基本都沒有用上正式的劇本。

數據關聯分析

SANS的調研代表，事件、IOC、情報等情境數據之間關聯分析主要由SIEM來擔當，其次是TIP、LM和SOAR。

 【參考】

SANS：2018年SOC調查報告

SANS：2017年SOC調查報告

SANS：2018年網絡威脅情報現狀調研報告
SANS：2017年網絡威脅情報現狀調研報告
SANS：2016年網絡威脅情報現狀調研報告

SANS：2016年安全分析調研報告
SANS：2015年安全分析與安全智能調研報告
SANS：2014年安全分析與安全智能調研報告
SANS：2013年度安全分析調查報告

SANS：2014年日誌管理調查報告
SANS：2012年度日誌管理調查報告
SANS：2011年度日誌管理調查報告
SANS：2010年度日誌管理調查報告