安全運(yùn)營(yíng)中心是企業(yè)威脅控制策略的重要組成部分。Nemertes的2019-2020年云與網(wǎng)絡(luò)安全研究報(bào)告發(fā)現(xiàn)，43%威脅控制能力的提升與部署SOC相關(guān)。然而，無(wú)論是內(nèi)部還是外部管理的SOC，都會(huì)面臨人員、流程和技術(shù)方面的8個(gè)挑戰(zhàn)。

人員問(wèn)題

SOC在人員方面面臨很大障礙，以下是三個(gè)主要問(wèn)題：

人員短缺

技能短缺

知識(shí)短缺

挑戰(zhàn)1：人員短缺

在安全領(lǐng)域，企業(yè)長(zhǎng)期面臨的困難是，缺乏訓(xùn)練有素、經(jīng)驗(yàn)豐富的人員。而快速轉(zhuǎn)移到新的運(yùn)營(yíng)模式、云基礎(chǔ)架構(gòu)和云原生應(yīng)用程序架構(gòu)只會(huì)加劇這一問(wèn)題。如果只有小部分企業(yè)應(yīng)用程序通過(guò)無(wú)服務(wù)器平臺(tái)交付，那么，采用無(wú)服務(wù)器關(guān)鍵任務(wù)系統(tǒng)的企業(yè)可找到并負(fù)擔(dān)具有相關(guān)知識(shí)和經(jīng)驗(yàn)的SOC員工的可能性有多大？

挑戰(zhàn)2：技能短缺

技能短缺也是一個(gè)問(wèn)題。當(dāng)企業(yè)無(wú)法聘請(qǐng)人員填補(bǔ)安全技能方面的空白時(shí)，只能讓現(xiàn)有人員去填補(bǔ)。他們加緊學(xué)習(xí)，但并非沒(méi)有問(wèn)題。例如，如果SOC團(tuán)隊(duì)無(wú)法熟練地使用監(jiān)視和管理工具來(lái)有效地干預(yù)威脅，則可能會(huì)導(dǎo)致響應(yīng)變慢和響應(yīng)失敗。當(dāng)工作人員努力設(shè)法找到正確功能去診斷事件然后進(jìn)行干預(yù)，這會(huì)導(dǎo)致響應(yīng)很慢。而員工錯(cuò)過(guò)工具所提供的指示或缺少阻止攻擊所需的干預(yù)措施，則將導(dǎo)致響應(yīng)失敗。

挑戰(zhàn)3：知識(shí)短缺

知識(shí)短缺與技能短缺密切相關(guān)。即使是那些精通所有系統(tǒng)管理工具的人，如果對(duì)所保護(hù)的系統(tǒng)環(huán)境知之甚少，他們也會(huì)失敗。對(duì)環(huán)境了解太少會(huì)導(dǎo)致無(wú)法識(shí)別問(wèn)題本身，或者增加對(duì)不存在的問(wèn)題做出不適當(dāng)響應(yīng)的機(jī)會(huì)。SOC團(tuán)隊(duì)將收到更多的誤報(bào)和漏報(bào)，并浪費(fèi)時(shí)間處理這些問(wèn)題。最終，員工將無(wú)法對(duì)實(shí)際攻擊做出反應(yīng)。

流程問(wèn)題

在流程方面（其中包括預(yù)算），SOC面臨兩個(gè)主要問(wèn)題：

流程延遲

預(yù)算分配錯(cuò)誤

挑戰(zhàn)4：流程延遲

流程延遲有兩個(gè)方面：系統(tǒng)和人員。系統(tǒng)流程延遲方面是指，SOC流程的發(fā)展速度不足以應(yīng)對(duì)SOC監(jiān)視的系統(tǒng)環(huán)境中的變化。人員方面的問(wèn)題是，環(huán)境和流程的發(fā)展都快于人們對(duì)其的理解。這就是說(shuō)，流程滯后于環(huán)境，而人員滯后于流程。

SOC流程并不是全面行動(dòng)框架。員工很少時(shí)間花在臨時(shí)修復(fù)新流程，從而導(dǎo)致對(duì)問(wèn)題的響應(yīng)緩慢而又不完整。而且，由于很多臨時(shí)流程最終都必須被丟棄，沒(méi)有被理解，因此造成工作人員和時(shí)間的雙重浪費(fèi)。

挑戰(zhàn)5：預(yù)算分配錯(cuò)誤

對(duì)于預(yù)算，Nemertes在研究中發(fā)現(xiàn)，很多IT企業(yè)沒(méi)有將安全預(yù)算作為風(fēng)險(xiǎn)的基礎(chǔ)。取而代之的是，他們將安全性支出確定為IT總支出的部分百分比，或與某些同行基準(zhǔn)掛鉤。而那些根據(jù)風(fēng)險(xiǎn)進(jìn)行預(yù)算的企業(yè)（事故概率與造成的損害程度的交集），在確保企業(yè)安全方面更為成功，因?yàn)樗麄儗?zhuān)注于緩解具有最大損害可能性的威脅，而不僅僅是很可能造成損害的威脅。

技術(shù)問(wèn)題

技術(shù)也給SOC團(tuán)隊(duì)帶來(lái)挑戰(zhàn)，主要三個(gè)問(wèn)題包括：

缺乏適當(dāng)?shù)墓ぞ?/p>

分析和篩查不足

缺乏自動(dòng)化和集成

挑戰(zhàn)6：缺乏適當(dāng)?shù)墓ぞ?/p>

缺乏適當(dāng)?shù)谋O(jiān)視和管理工具通常是因?yàn)樗O(jiān)視的系統(tǒng)環(huán)境快速變化導(dǎo)致。系統(tǒng)從數(shù)據(jù)中心遷移到云環(huán)境可能也需要新的安全工具。在容器中開(kāi)發(fā)和部署的應(yīng)用程序需要保護(hù)，但是SOC可能沒(méi)有任何工具可以使他們看到這些系統(tǒng)，也沒(méi)有辦法可干預(yù)該環(huán)境。

挑戰(zhàn)7：分析和篩查不足

對(duì)于SOC，分析和篩查是必要的工具，但這二者通常不足。在SOC中，令人難以置信的破壞性問(wèn)題是，其中的工作人員經(jīng)常要面對(duì)大量令人誤解的誤報(bào)安全警報(bào)，而員工是IT中最稀缺的資源。那些能夠更好地識(shí)別誤報(bào)、清除重復(fù)項(xiàng)并在整個(gè)系統(tǒng)中關(guān)聯(lián)警報(bào)以幫助進(jìn)行威脅檢測(cè)的工具，對(duì)于限制警報(bào)疲勞以及創(chuàng)建和維護(hù)可持續(xù)的SOC操作至關(guān)重要。

挑戰(zhàn)8：缺乏自動(dòng)化和集成

同樣，SOC中的人員轉(zhuǎn)移到跨系統(tǒng)的集成點(diǎn)（也稱(chēng)為轉(zhuǎn)椅集成）會(huì)引起人為錯(cuò)誤。通過(guò)將員工鎖定在重復(fù)任務(wù)，他們實(shí)例化對(duì)安全事件的標(biāo)準(zhǔn)響應(yīng)工作流程，企業(yè)會(huì)增加員工的疲勞和倦怠，并將事件響應(yīng)速度限制在人類(lèi)范圍內(nèi)：?jiǎn)T工感知時(shí)間加上員工理解時(shí)間加上員工響應(yīng)時(shí)間。自動(dòng)化和集成對(duì)于避免這些問(wèn)題至關(guān)重要。

企業(yè)將繼續(xù)顯示出對(duì)SOC的需求，但是IT必須解決這8項(xiàng)挑戰(zhàn)-如果SOC外包則必須與提供商合作-以確保企業(yè)得到最佳保護(hù)。
責(zé)編AJX