SANS：2019年SOC调查报告

概述

2019年7月，SANS发布了第三次SOC调查报告，题为《SOC的通用和最佳实践》。SANS主要针对欧美国家的大中型SOC客户（含MSSP）进行了调研，结果显示：

１）通往卓越SOC之路的最大障碍是专业|人员的缺失（58%）和缺少有效的编排与自动化（50%）。

２）依照NIST CSF框架，最满意的技术是保护阶段的访问控制/虚拟专网（87%），而最不满意的技术是检测阶段的AI/ML（53%）；

３）AI/ML和自动化能够助力专业|人员，但没法取代他们。

SANS建议优先从如下几个方面考虑持续改进SOC：

１）            更专一于SOC可以提供什么应用场景和服务，而不是一味地购买新技术；

２）            创建一套有效的人员培养、成长和保留策略，提供良好的职业发展路径。对于本就很少的人手而言，人员稳定性更为关键；

３）            多考虑使用MSSP的服务；

４）            增强SOC与NOC的协同合做。

今年SANS对SOC的定义没有发生变化，依然表述为：SOC是人、流程和技术的结合，它经过主动的设计和配置、持续地系统状态监测、检测意外动做和非预期状态去保护组织的信息系统，力图尽量地下降不良影响形成的伤害。（A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.）

SOC人员

超过三分之一的受访者所在的企业和组织中只有2~5名专职的SOC人员。这一结果跟2018年的调查基本同样，没有什么变化。

SOC主要干什么

如上图所示，跟2018年比变化也很小，DLP的位置略微有所提高。主要的活动包括：应急响应、安全监控与检测、DLP、安全管理、修复，等等。

此外，SANS十分看重SOC服务和能力的交付方式，即每种能力经过自建、委建（MSSP）和共建三种方式交付的占比状况。从调研结果来看，全部活动都是自建占主导位置，其次是共建，委建占比仍是比较低，并主要集中在***测试、红蓝紫对抗方面。

SOC的部署架构

以下图所示，SOC的部署模式依然仍是以单一集中式部署为主，分布式部署和云部署的状况在逐步增长。

SOC的度量指标

对SOC的效果进行度量已是一项十分迫切的工做了。SANS列举了一些指标，包括：处理的安全事件数量、从检测到遏制和根除的时间（相似咱们常常说的MTTD、MTTResponse、MTTRecovery等）、关闭的安全事件数量、受SOC保护的系统的风险值、由已知或未知漏洞致使的安全事件数量/比例、找出全部受影响的资产和用户所花费的时间、每一个安全事件形成的故障时长、溯源到的威胁行为体数量、全面IOC检测的完全性（覆盖度）和准确性、问题根除的完全性（复发率）、安全事件避免的可能性、安全事件花费的金钱成本、形成的损失与挽回的损失之比。

对于如何构建有效的度量网络安全的指标是当下的一个热点。Dark Reading在近日采访了多位网络安全厂商的技术专家，让他们给出了本身心目中可能带来误导的20个指标。这20个所谓糟糕的指标描述在安全牛上有中文译文。能够说，若是脱离具体的应用场景和上下文，缺乏辅助指标，缺少度量的连续性和一致性，任何单一的指标在表达上都存在缺陷。咱们须要一套有针对性的、互相关联的指标集合，而且可以进行持续的度量。

SANS在报告中也认可，要创建一套真正反映SOC运行效果的指标是很难的事情，要想算出形成了多大损失，挽回了多少损失也是很难的事情，至少数据来源就是模糊了。但有估算总比没有估算好，有指标（固然不能是烂指标）总比没有指标好。

下图进一步揭示了在进行指标度量时的自动化水平：

能够看出，彻底自动化得到度量值的比例只有10.7%，其它的则要么彻底手工计算，要么或多或少依靠手工计算。

SOC用到了哪些技术和工具

2018的调研是直接开列了40种技术和工具，今年则首先依照NIST的CSF（网络安全框架）将各类技术映射到了6个阶段（IPDDR——识别/保护/检测/响应/恢复），而后分别针对每一个阶段具体分析。

１）            识别：

识别阶段就是咱们如今所称的“看见”的过程，包括看见系统、人员、资产和数据，看见它们的静态属性和动态属性，看见他们的运行状态，并评估出他们的风险。SANS列出了三种识别阶段最关键的技术：SIEM、风险分析与评估、资产发现与管理。

２）            保护：

保护阶段就是对关键资产进行防御，确保其持续地提供服务。SANS的调查显示，在保护阶段，满意度最高的技术是边界防御类技术。SANS列举的保护技术/工具包括：web代理、WAF、SSL流量解密、NGFW、NAC、恶意代码检测、内容过滤、DLP、应用白名单和虚拟专网。

３）            检测：

检测阶段涉及的技术和工具最为丰富。一方面由于检测之难，技术路线之多，另外一方面也是检测之重要。这个阶段满意度最高的是基于网络的检测技术。满意度最低的技术则来自于AI和ML。SANS认为AI和ML对于加强分析师的能力确实大有裨益，但当前人们对AI和ML正处于炒做的高峰期，能力被过渡渲染，以致于落差太大了。SANS针对这个阶段列举的技术包括：UEBA、威胁情报、SOAR、包分析、NTA、IPS、流分析、全包捕获、取证、AI/ML、SIEM、DNS日志监控、EDR、持续监控与评估、应用日志审计，等。

４）            响应：

响应阶段就是针对检测阶段发现的安全事件进行响应处置的过程。SANS在此阶段列举了3种技术：欺骗、抗D和EDR。SANS认为EDR在中型市场的***率稳步提高。

５）            恢复：

恢复是指保持网络弹性，或者将受到安全事件影响的能力和服务进行恢复的过程。SANS列举了三种恢复技术：弱点修复、基于虚拟化技术的系统更新、勒索修复。

SOC面临的主要挑战

今年的调研结果与去年的调查基本一致，以下图所示：

SANS将上述问题总结为四个方面：

1）“生活中不可避免地现实”。这个比喻很形象，你永远也找不到足够的资源，也没有必要去找齐，而管理层的支持是一个永恒的话题。

2）治理问题。SOC是一个复杂的系统，不只在于其技术，更在于其众多的干系人。作好SOC不少时候都受限于那些脑壳们的屁股在哪里，解决之道就在于同理心，多赢思惟。

3）缺少整合以及SOC流程的成熟度问题。

4）技术问题。

其它

应急响应（IR）

IR是安全运营中必不可少的重要环节。94%的受访者表示IR能力依靠自建，而且这些自建的受访者中有77%都是将IR团队做为SOC团队的一部分。能够说，IR和SOC合体是当下主流。

对于IR团队和SOC团队的关系，Gartner也曾专门进行过讨论，分为三种状况：IR做为SOC的一部分、IR放到CIRT中并与SOC保持独立、IR的工做分散到SOC和CIRT中。三种状况的利弊分析以下：

 

知识管理

SANS认为知识管理十分重要。将安全事件的处置过程和结果记录下来，将安全运营的经验记录下来，不只能够提升本身将来处置安全事件的效率，更是一个团队的积累和传承。当咱们抱怨人手不足的时候，当咱们抱怨人员团队流动性高的时候，当咱们抱怨反复处理之前遇到过的问题的时候，请重视知识管理。

SANS的访谈显示，小型SOC用户通常会用SharePoint作知识管理；而大型SOC用户则较多使用JIRA做为工单系统，用Confluence做为协同系统，用ServiceNow或BMC Remedy作工单，但基本都没有用上正式的剧本。

数据关联分析

SANS的调研代表，事件、IOC、情报等情境数据之间关联分析主要由SIEM来担当，其次是TIP、LM和SOAR。

 【参考】

SANS：2018年SOC调查报告

SANS：2017年SOC调查报告

SANS：2018年网络威胁情报现状调研报告
SANS：2017年网络威胁情报现状调研报告
SANS：2016年网络威胁情报现状调研报告

SANS：2016年安全分析调研报告
SANS：2015年安全分析与安全智能调研报告
SANS：2014年安全分析与安全智能调研报告
SANS：2013年度安全分析调查报告

SANS：2014年日志管理调查报告
SANS：2012年度日志管理调查报告
SANS：2011年度日志管理调查报告
SANS：2010年度日志管理调查报告