src 關註 fort nes 流程 pro 統計 依靠 評分

2018年8月份，SANS發布了第二次SOC調查報告。

標題"The Definition of SOC-cess?"可以理解為：如何定義SOC的成功（success）？
總體上來看，今年的情況跟去年差不多。

SANS對SOC的定義是：SOC是人、流程和技術的結合，它通過主動的設計和配置、持續地系統狀態監測、檢測意外動作和非預期狀態去保護組織的信息系統，力圖盡可能地降低不良影響造成的傷害。（A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.）

同時，SANS認為SOC成功的標準是其是否有效幹預了對手企圖破壞組織資產可用性、機密性和完整性的嘗試。一般地，SOC通過主動地把系統變得對損害更具彈性，以及更加快速地檢測、遏制和消除對手的能力來做到這一點。（We define the success criterion for a SOC as: when it intervenes in adversary efforts to impact the availability, confidentiality and integrity of the organization’s information assets. It does this by proactively making systems more resilient to impact and reactively detecting, containing and eliminating adversary capability.）
SANS發現，SOC似乎是一個很大很復雜的系統，但實際上31%的SOC團隊只有2到5個人。

而另外一個安永針對1200個組織（其中大部分是大型和有錢的單位）的調研顯示，48%的受訪者沒有SOC。

SANS從SOC的能力和SOC的架構兩個方面進行了調研。
SOC團隊主要做什麽？

從上圖可以看出來，SOC的主要活動包括：應急響應（96.8%的受訪者表示）、安全監測與檢測（96.6%）、SOC架構與工程化、安全管理、數據保護與監測、修復、安全規劃，等等。上圖還顯示了每個活動是自己內部完成，還是借助MSSP來達成，抑或兩者結合的比例。可以看出，SOC團隊自己搞的比例比較高。

不同行業的SOC團隊規模，並沒有顯著的趨勢：

SOC的部署架構（模式）：

可以看出基於雲的SOC比重還是比較低的。

如上圖所示，在未來十二個月的規劃中，依然是自建大集中式的SOC為主，但雲SOC的比重稍有增加，同時建設正規SOC的意願更強，如下圖：

僅有54%的SOC建立了SOC度量指標，SANS表示“這不是一個好現象”。至於一般都建立了哪些指標，如下圖所示：

這個圖我還是比較感興趣的。報告還提及了一些小眾的指標，譬如：處理中高級問題的耗時（還是陷入告警的茫茫大海？）、釣魚事件計數、威脅獵捕相關的統計性數據。
針對上述度量指標，大部分依然還是手工計算，如下圖所示：

我個人認為，要想真正做到度量自動化是很難的，首先就是對指標的一致化的清晰的定義，這一點就很難。需要在度量的有效性和度量的可行性之間取得一個平衡。

SOC用到了哪些安全技術和工具？

上圖也算是一個SOC技術流行度的排行。
對這些安全技術和工具的滿意度如何？

SANS將排第一的NGFW給出了B+的評分，而對最後一位的資產發現與管理的滿意度評定為F。
需要註意的是，SOC高度依賴人的技能和經驗，因此，不同水平的人對相同的技術評判是不同的。我個人建議大家可以關註最滿意的和最不滿意的幾個技術。

觸發響應流程的告警來源，或者說SOC分析師主要看什麽日誌來觸發應急響應，如下圖：

可以看出，主要看終端，IDS，IPS和防火墻的告警，其次是SIEM告警。也可以看出一般都要看多種告警，而不會集中到某個點上。此外，異常檢測的結果、威脅捕獵的結果和威脅情報也很重要。
對多源數據的關聯分析，主要依靠SIEM，如下圖：

說明SIEM依然是事件分析的核心。

響應方式這塊，如下圖所示，大部分都做到了響應流程與SOC的集成：

針對不同的相應技術，總體的滿意率較低，起碼低於SOC技術和工具的滿意度。最滿意的網絡取證分析技術也僅僅被SANS評定為C。

這個圖值得自己研究一番。

SOC面臨的主要挑戰如下圖所示：

合格的人才依然是最大的問題。究其原因，SANS認為SOC這個活天然就是一個復雜高難度的事兒，涉及面太廣，不僅是技術面要求廣，業務面也很廣。那麽能否搞出一個NB的技術和工具降低對人的要求呢？我個人認為，目前看還不現實，從前面的分析可以看到目前對於AI和ML的滿意度依然很低，而且新出現的一些技術對人的要求更高。

SOC對智能設備，包括工控、物聯網的管理程度還比較低，但應該予以重視。

SANS特別強調了基於行為基線來進行相對較為封閉的IoT設施的安全監測的方法。

SANS結論：以下問題依然阻礙著SOC的發展。
1）缺乏有效的和集成化的工具；
2）缺乏有效的資產發現與管理技術；
3）自身組織內部的隔閡與分立；
4）人員缺乏，關鍵技能缺乏；
5）自動化的有效性還不夠，關聯分析能力還有差距；
6）對SOC成功的定義和度量還很缺乏。

SANS最後表示：A key finding of the survey was that only about half of the SOCs are using metrics. Not only are meaningful metrics critical to running an effective SOC, but they are absolutely mandatory to have any chance of persuading management to provide the resources needed to overcome the barriers identified in the survey.

後續，我還將繼續根據這份報告結合我個人體會發表觀點，敬請關註。

【參考】
SANS：2017年SOC調查報告

SANS：2018年網絡威脅情報現狀調研報告
SANS：2017年網絡威脅情報現狀調研報告
SANS：2016年網絡威脅情報現狀調研報告

SANS：2016年安全分析調研報告
SANS：2015年安全分析與安全智能調研報告
SANS：2014年安全分析與安全智能調研報告
SANS：2013年度安全分析調查報告

SANS：2014年日誌管理調查報告
SANS：2012年度日誌管理調查報告
SANS：2011年度日誌管理調查報告
SANS：2010年度日誌管理調查報告

SANS：2018年SOC調查報告