SANS：2019年SOC調查報告

概述

2019年7月，SANS釋出了第三次SOC調查報告，題為《SOC的通用和最佳實踐》。SANS主要針對歐美國家的大中型SOC客戶（含MSSP）進行了調研，結果顯示：

１）通往卓越SOC之路的最大障礙是專業|人員的缺失（58%）和缺乏有效的編排與自動化（50%）。

２）依照NIST CSF架構，最滿意的技術是保護階段的通路控制/虛拟專網（87%），而最不滿意的技術是檢測階段的AI/ML（53%）；

３）AI/ML和自動化可以助力專業|人員，但無法取代他們。

SANS建議優先從以下幾個方面考慮持續改進SOC：

１）            更專注于SOC能夠提供什麼應用場景和服務，而不是一味地購買新技術；

２）            建立一套有效的人員培養、成長和保留政策，提供良好的職業發展路徑。對于本就不多的人手而言，人員穩定性更為關鍵；

３）            多考慮使用MSSP的服務；

４）            加強SOC與NOC的協同合作。

今年SANS對SOC的定義沒有發生變化，依然表述為：SOC是人、流程和技術的結合，它通過主動的設計和配置、持續地系統狀态監測、檢測意外動作和非預期狀态去保護組織的資訊系統，力圖盡可能地降低不良影響造成的傷害。（A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.）

SOC人員

超過三分之一的受訪者所在的企業群組織中隻有2~5名專職的SOC人員。這一結果跟2018年的調查基本一樣，沒有什麼變化。

SOC主要幹什麼

如上圖所示，跟2018年比變化也很小，DLP的位置略微有所提升。主要的活動包括：應急響應、安全監控與檢測、DLP、安全管理、修複，等等。

此外，SANS十分看重SOC服務和能力的傳遞方式，即每種能力通過自建、委建（MSSP）和共建三種方式傳遞的占比情況。從調研結果來看，所有活動都是自建占主導位置，其次是共建，委建占比還是比較低，并主要集中在***測試、紅藍紫對抗方面。

SOC的部署架構

如下圖所示，SOC的部署模式依然還是以單一集中式部署為主，分布式部署和雲部署的情況在逐漸增加。

SOC的度量名額

對SOC的效果進行度量已經是一項十分迫切的工作了。SANS列舉了一些名額，包括：處理的安全事件數量、從檢測到遏制和根除的時間（類似我們經常說的MTTD、MTTResponse、MTTRecovery等）、關閉的安全事件數量、受SOC保護的系統的風險值、由已知或未知漏洞導緻的安全事件數量/比例、找出所有受影響的資産和使用者所花費的時間、每個安全事件造成的故障時長、溯源到的威脅行為體數量、全面IOC檢測的徹底性（覆寫度）和準确性、問題根除的徹底性（複發率）、安全事件避免的可能性、安全事件花費的金錢成本、造成的損失與挽回的損失之比。

對于如何建構有效的度量網絡安全的名額是當下的一個熱點。Dark Reading在近日采訪了多位網絡安全廠商的技術專家，讓他們給出了自己心目中可能帶來誤導的20個名額。這20個所謂糟糕的名額描述在安全牛上有中文譯文。可以說，如果脫離具體的應用場景和上下文，缺少輔助名額，缺乏度量的連續性和一緻性，任何單一的名額在表達上都存在缺陷。我們需要一套有針對性的、互相關聯的名額集合，并且能夠進行持續的度量。

SANS在報告中也承認，要建立一套真正反映SOC運作效果的名額是很難的事情，要想算出造成了多大損失，挽回了多少損失也是很難的事情，至少資料來源就是模糊了。但有估算總比沒有估算好，有名額（當然不能是爛名額）總比沒有名額好。

下圖進一步揭示了在進行名額度量時的自動化水準：

可以看出，完全自動化獲得路徑成本的比例隻有10.7%，其它的則要麼完全手工計算，要麼或多或少依靠手工計算。

SOC用到了哪些技術和工具

2018的調研是直接開列了40種技術和工具，今年則首先依照NIST的CSF（網絡安全架構）将各種技術映射到了6個階段（IPDDR——識别/保護/檢測/響應/恢複），然後分别針對每個階段具體分析。

１）            識别：

識别階段就是我們現在所稱的“看見”的過程，包括看見系統、人員、資産和資料，看見它們的靜态屬性和動态屬性，看見他們的運作狀态，并評估出他們的風險。SANS列出了三種識别階段最關鍵的技術：SIEM、風險分析與評估、資産發現與管理。

２）            保護：

保護階段就是對關鍵資産進行防護，確定其持續地提供服務。SANS的調查顯示，在保護階段，滿意度最高的技術是邊界防護類技術。SANS列舉的保護技術/工具包括：web代理、WAF、SSL流量解密、NGFW、NAC、惡意代碼檢測、内容過濾、DLP、應用白名單和虛拟專網。

３）            檢測：

檢測階段涉及的技術和工具最為豐富。一方面因為檢測之難，技術路線之多，另一方面也是檢測之重要。這個階段滿意度最高的是基于網絡的檢測技術。滿意度最低的技術則來自于AI和ML。SANS認為AI和ML對于增強分析師的能力确實大有裨益，但目前人們對AI和ML正處于炒作的高峰期，能力被過渡渲染，以至于落差太大了。SANS針對這個階段列舉的技術包括：UEBA、威脅情報、SOAR、包分析、NTA、IPS、流分析、全包捕獲、驗證、AI/ML、SIEM、DNS日志監控、EDR、持續監控與評估、應用日志審計，等。

４）            響應：

響應階段就是針對檢測階段發現的安全事件進行響應處置的過程。SANS在此階段列舉了3種技術：欺騙、抗D和EDR。SANS認為EDR在中型市場的***率穩步提升。

５）            恢複：

恢複是指保持網絡彈性，或者将受到安全事件影響的能力和服務進行恢複的過程。SANS列舉了三種恢複技術：弱點修複、基于虛拟化技術的系統更新、勒索修複。

SOC面臨的主要挑戰

今年的調研結果與去年的調查基本一緻，如下圖所示：

SANS将上述問題總結為四個方面：

1）“生活中不可避免地現實”。這個比喻很形象，你永遠也找不到足夠的資源，也沒有必要去找齊，而管理層的支援是一個永恒的話題。

2）治理問題。SOC是一個複雜的系統，不僅在于其技術，更在于其衆多的幹系人。做好SOC很多時候都受限于那些腦袋們的屁股在哪裡，解決之道就在于同理心，多赢思維。

3）缺乏整合以及SOC流程的成熟度問題。

4）技術問題。

其它

應急響應（IR）

IR是安全營運中必不可少的重要環節。94%的受訪者表示IR能力依靠自建，并且這些自建的受訪者中有77%都是将IR團隊作為SOC團隊的一部分。可以說，IR和SOC合體是當下主流。

對于IR團隊和SOC團隊的關系，Gartner也曾專門進行過讨論，分為三種情況：IR作為SOC的一部分、IR放到CIRT中并與SOC保持獨立、IR的工作分散到SOC和CIRT中。三種情況的利弊分析如下：

知識管理

SANS認為知識管理十分重要。将安全事件的處置過程和結果記錄下來，将安全營運的經驗記錄下來，不僅可以提高自己未來處置安全事件的效率，更是一個團隊的積累和傳承。當我們抱怨人手不足的時候，當我們抱怨人員團隊流動性高的時候，當我們抱怨反複處理以前遇到過的問題的時候，請重視知識管理。

SANS的訪談顯示，小型SOC使用者一般會用SharePoint做知識管理；而大型SOC使用者則較多使用JIRA作為工單系統，用Confluence作為協同系統，用ServiceNow或BMC Remedy做工單，但基本都沒有用上正式的劇本。

資料關聯分析

SANS的調研表明，事件、IOC、情報等情境資料之間關聯分析主要由SIEM來擔當，其次是TIP、LM和SOAR。

 【參考】

SANS：2018年SOC調查報告

SANS：2017年SOC調查報告

SANS：2018年網絡威脅情報現狀調研報告

SANS：2017年網絡威脅情報現狀調研報告

SANS：2016年網絡威脅情報現狀調研報告