SOC是企业威胁控制策略的重要组成部分。Nemertes2019-2020年云和网络安全研究报告发现,43%的威胁控制能力提升与SOC的部署有关。然而,无论是内部管理还是外部管理的SOC,都面临着人员、流程和技术方面的八项挑战。人员问题SOC在人员方面面临着很大的障碍。以下是三个主要问题:人员短缺技能短缺知识短缺挑战1:人员短缺在安全领域,组织长期面临缺乏训练有素且经验丰富的人员的问题。而向新的运营模式、云基础设施和云原生应用程序架构的快速转变只会加剧这个问题。如果只有一小部分企业应用程序是通过无服务器平台交付的,那么采用无服务器关键任务系统的企业找到并负担得起具有相关知识和经验的SOC员工的可能性有多大?挑战二:技能短缺技能短缺也是一个问题。当组织无法雇用人员来填补安全技能缺口时,他们必须用现有人员来填补缺口。他们加紧学习,但并非没有问题。例如,如果SOC团队不熟练使用监控和管理工具来有效干预威胁,这可能会导致响应缓慢和失败。这可能会导致响应缓慢,因为员工很难找到正确的功能来诊断事件然后进行干预。响应失败将导致员工错过工具提供的指示或错过阻止攻击所需的干预措施。挑战三:知识短缺知识短缺与技能短缺密切相关。如果对所保护的系统环境知之甚少,即使那些精通所有系统管理工具的人也可能会失败。对环境知之甚少可能导致无法识别问题本身,或增加对不存在的问题做出不恰当反应的可能性。SOC团队将收到更多误报和漏报,并浪费时间处理它们。最终,员工将无法应对实际攻击。流程问题在流程(包括预算)方面,SOC面临两大问题:流程延迟预算分配不当挑战4:流程延迟流程延迟有两个方面:系统和人员。系统进程延迟方面是指SOC进程的演进速度不够快,无法响应SOC监控的系统环境的变化。人们的问题在于环境和流程的发展速度都快于人们的理解。即过程滞后于环境,人滞后于过程。SOC流程不是一个全面的行动框架。员工很少花时间临时修复新流程,导致对问题的响应缓慢且不完整。而且,由于许多临时过程最终必须被丢弃而不被理解,因此会造成人员和时间的双重浪费。挑战五:预算分配不当关于预算,Nemertes在研究中发现,许多IT组织并没有将安全预算作为风险的基础。相反,他们将安全支出确定为总IT支出的部分百分比,或与某些同行基准挂钩。那些根据风险(事故发生概率与造成的损失量的交集)制定预算的企业在确保企业安全方面更为成功,因为他们专注于减轻最有可能造成损失的威胁,而不仅仅是可能发生的威胁造成损坏威胁。技术问题技术也对SOC团队提出了挑战,主要的三个问题包括:缺乏合适的工具缺乏分析和筛选缺乏自动化和集成挑战6:缺乏合适的工具系统环境的快速变化导致。将系统从数据中心迁移到云端可能还需要新的安全工具。在容器中开发和部署的应用程序需要受到保护,但SOC可能没有任何工具可以让他们看到这些系统,也没有办法干预该环境。挑战七:分析和筛选不足对于SOC,分析和筛选是必要的工具,但两者往往都不充分。SOC中的一个极具破坏性的问题是IT中最稀缺的资源,在SOC中,员工经常面临大量被误解的误报安全警报。能够更好地识别误报、剔除重复项并在整个系统中关联警报以帮助检测威胁的工具对于限制警报疲劳以及创建和维护可持续的SOC操作至关重要。挑战8:缺乏自动化和集成同样,将SOC内的人员转移到跨系统的集成点(也称为转椅集成)会引入人为错误。通过将员工锁定在重复性任务中,他们实例化了安全事件的标准响应工作流程,企业增加了员工的疲劳和倦怠,并将事件响应速度限制在人类尺度:员工感知时间加上员工理解时间加上员工响应时间。自动化和集成对于避免这些问题至关重要。企业将继续表现出对SOC的需求,但IT必须解决这8个挑战-如果SOC外包,则必须与供应商合作-以确保企业得到最佳保护。
