专栏首页网络安全观安全运营SOC进入更年期:五大挑战和五点建议

安全运营SOC进入更年期:五大挑战和五点建议

ESG 的最新研究显示,企业安全运营和安全分析已经陷入泥沼,只有做出重大改变才能脱离困境。为了探究当下企业安全分析和运营面临的挑战,ESG 调查了来自北美各行业中大型企业的 406 位 IT 和安全专业人员,得出以下结论:

1. 安全分析和运营越来越难

近三分之二 (63%) 的受访者声称,如今的安全分析和运营比两年前更加困难。外部变化和内部挑战更是让难度每日剧增。

外围调查结果显示,41% 的安全专家认为,由于威胁形势的快速变化,现在安全分析和运营变得更加困难,30% 的专业人士认为,是攻击面的不断增加导致难度持续上升,安全团队别无选择,只能咬牙紧跟外部动态和趋势。在企业内部调查中,35% 的受访者认为安全性分析和运营比过去变得更加困难,主要因为安全数据比两年前要多得多;34% 的受访者表示,安全警报的数量在过去两年中有所增加,另有 29% 的人抱怨很难跟上安全运营任务的数量和复杂性。

2. 安全数据管理难题:更多数据,更多问题

与两年前相比,将近三分之一的企业和组织 (32%) 为网络安全分析和运营采集的数据大幅度增加,44% 的企业和组织安全数据有小幅增长。而且,与过去相比,有 52% 的组织保留安全 “热数据”的时间更长。大量的实时和历史安全数据形成了体积庞大的数据存储库,这些数据库既昂贵又难以管理。

安全分析师们经常抱怨的问题就是:数据太多反而找不到数据。

3. 传统的本地SIEM方案并不完整

高达 70% 的企业仍然依赖安全信息和事件管理 (SIEM) 系统来进行安全分析和运营。此外,很多企业的安全运营中心 (SOC) 团队还围绕 SIEM 配备了用于威胁检测/响应、调查/查询、威胁情报分析以及流程自动化/编排的其他工具。这就产生了一个问题:如果 SIEM 是安全分析和运营的 “重器”,为什么企业还要补充那么多其他工具?

研究表明,尽管 SIEM 擅长发现已知威胁并生成安全与合规性报告,但它并不适合检测未知威胁或其他安全运营场景。而且,有 23% 的安全专家表示 SIEM 平台需要大量的人员培训和经验,而 21% 的人则认为 SIEM 需要不断调优并消耗大量运营资源才能发挥作用。总之,SIEM 不会很快失宠,但显然还远远不够。

4. 人才和技能短缺仍然普遍存在

四分之三的受访者认为,网络安全技能短缺已经影响了组织的安全分析和运营。CISO 不能简单地通过招兵买马来摆脱困境吗?这并非易事:70% 的安全专家表示,招募和雇用 SOC 人员比较困难或者非常困难。很多企业已经开始通过购买可管理安全服务(托管服务)来解决技能差距。今天,有 74% 的组织使用可管理安全服务(用于安全分析和运营),而 90% 的企业计划在将来增加对托管安全服务的使用。不久的将来,SOC 将不再是一个人(企业)的战斗。

5. 安全分析和运营技术正在迁移到公有云

过去,CISO 倾向于对本地安全分析和运营技术进行手动控制,但眼下趋势已变。研究表明,有 41% 的组织更喜欢基于云的安全分析和运营技术,而另外 17% 的组织愿意试点云安全分析和运营技术。

为什么要迁移到云?最明显的原因是要规避内部安全分析和安全运营基础设施的成本和复杂性(即数据采集/处理器、负载平衡器、服务器、存储设备等的部署和运营)。更为重要的一点是,很多企业的安全运营主管认为,可动态扩展的云计算和存储资源可以提供远高于本地系统的分析能力,基于海量安全数据集上的机器学习算法和应用尤其如此。

给 CISO 和安全专业人员的四条建议

1. CISO 必须基于长期和全面的策略来完善 SOC,这些策略可以着重提高安全性,提高运营效率并支持业务目标。仅仅依靠战术上的调整是行不通的。

2. 大型组织应认识到,安全分析和运营本质上是大数据应用,要求安全团队具备相当的数据管理技能,以便他们可以大规模构建和操作安全数据管道。

3. CISO 必须计划进行云迁移,以便他们可以创建安全运营和分析平台架构 (SOAPA),预防,检测和响应跨混合 IT 基础架构的安全事件。

4. 为了解决安全运营的规模和范围以及持续的网络安全技能短缺问题,SOC经理必须依靠人工智能、安全流程自动化和可管理安全服务获取持续发展动力。CISO需要详细规划,利用这些要素来提升SOC从人员、供给到流程各个环节,更好地保护企业关键业务资产。

安全牛给 CIO 的一点建议

IT 安全团队(包括 SOC)与 IT 运营团队(包括网络运营中心 NOC)的隔阂甚至 “较劲” 是摆在 CIO 面前的最大难题,IT 运营的核心目标是保障企业业务的连续性和可用性,而 IT 安全团队和 SOC 的核心目标是高效的安全威胁预防、检测与响应,表面看两个部门的大目标是一致的,但是由于两个部门职能和责任上的有交叠,如果不能协调一致,会导致企业的安全防御能力和效率大打折扣。

Forrester 做过一项这方面的调查,67% 的企业 IT 人员认为,两个部门的裂隙在加大,而且 IT 运营与 IT 安全部门不和的企业,修补漏洞所需时间要比 “和谐” 企业长两周左右。

CIO 如果想推动 IT 安全和 IT 运营部门之间的协作,通常需要考虑从组织架构重组和部署统一工具两个方面着手。

相关阅读

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:安全牛

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 云时代下,安全运营中潜藏的“竞”与“机”

    大数据和云计算的时代,数据和个人信息成了“云上的金子”,因为其堪比石油的巨大价值,针对企业和个人的数据泄露、网络攻击等安全事件时有发生。这个时候,新一代 SOC...

    腾讯安全
  • 精彩速递 | 2018 SOC&EDR应用建设高峰论坛

    7月,蝉鸣的夏季,阳光炽热,我们相遇在“鹏城”,FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题,聚焦SOC&E...

    FB客服
  • 腾讯安全月报丨0误报通过赛可达认证、DDoS威胁报告发布、CASB方案上线……

    1月,《IDC特殊研究:中国智慧城市安全运营中心市场洞察》发布,综合呈现了相关建设现状、实践成果、未来趋势及进阶建议。腾讯智慧城市安全运营中心凭借产品技术实力、...

    腾讯安全
  • 如何兼顾效率、成本和安全,不当“背锅侠”?

    ? 各行各业数字化转型的过程中,全新业态和场景的诞生让企业亟需找到兼顾效率、安全、成本的平衡点,安全建设不仅承担了更重要的公司发展使命,同时也面临着前所未有的...

    腾讯云安全
  • XDR即将到来:CISO应该采取的5个步骤

    威胁检测与响应始终是企业安全建设的重点,据调查,83%的组织计划在未来12到18个月内增加威胁检测和响应支出。与之相对的是,尽管企业在安全技术上花费了数百万美元...

    FB客服
  • 企业对安全运营中心(SOC)的投入真的有用吗?

    对企业用户而言,是否总会感觉,花了钱和时间搞的安全措施没有达到预期中的效果?这可能是很多企业高层的困扰。不过,至少有一个可能是例外:安全运营中心(SOC)已经在...

    FB客服
  • 5G的推出包括对供应链的挑战,WFH价值 (technology)

    由于新冠,在家办公的工作和可能存在的持续挑战越来越多,这使得在更多地方需要更多的宽带容量。移动电信公司和其他服务提供商正在围绕5G无线技术进行集会,这是实现可靠...

    木樾233
  • EA周报 | 滴滴回应或被下架APP;腾讯视频回应“push线团队全部被开”;外媒确认iPhone 11 9月10日发布

    今日苹果发布了最新的iOS 13开发测试版7。国外网站iHELP BR在测试版中发现了一个截图,截图名字叫HoldForRelease ,等待发布,里面日历的日...

    yuanyi928
  • 威胁情报分享是SOC的“回春药”

    在本月初举行的 “奇智威胁情报峰会” 上,包括华泰证券、国家电网、建设银行、国家互联网应急中心的威胁情报负责人指出了安全运营的一个共同痛点:威胁情报分享难!威胁...

    网络安全观
  • 业务出海,企业该如何解决这两个核心问题?

    “我们除了做好业务转移到云上,业务的海外扩张也需要快速推进了。”某快速消费品公司负责海外业务的王总站在北京CBD办公室的投影旁边说道。 这家刚刚把业务放在云上...

    云鼎实验室
  • 连获殊荣!腾讯安全两大产品获数博会领先科技成果大奖

    5月26日,由国家发展和改革委员会、工业和信息化部、国家互联网信息办公室与贵州省人民政府主办的2021中国国际大数据产业博览会在贵阳举办。

    腾讯安全
  • 腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全

    数字经济时代的到来,也伴随着日益严峻的网络威胁。相对于外部入侵,内部威胁危害性更大,也更加隐蔽,难以防范应对。据2019年调查数据显示,全球企业因信息安全事件损...

    腾讯安全
  • 现代安全运营十问

    安全运营中心(SOC)是一种自动化的高效平台,已被众多企业所采纳作为其安全运营的得力助手。但是,在SOC平台的运营过程中,却难免会遇见一些难题。前几日,ISAC...

    FB客服
  • 如何为SOC配备合适的安全分析师

    一个最良好的APT防御产品都需要人来使用。而用好这些产品有赖于有效的安全运营中心(Security Operations Center)团队,SOC应该配备怎样...

    FB客服
  • 腾讯安全董志强:用云原生安全铸造产业互联网时代的坚实底座

    12月19日,2020 Techo Park开发者大会在北京举办,腾讯云首席安全官董志强出席并发表了以《用云原生安全铸造产业互联网时代的坚实底座》为主题的演讲...

    云鼎实验室
  • 腾讯安全董志强:用云原生安全铸造产业互联网时代的坚实底座

    12月19日,2020 Techo Park开发者大会在北京举办,腾讯云首席安全官董志强出席并发表了以《用云原生安全铸造产业互联网时代的坚实底座》为主题的演讲。...

    腾讯安全
  • 态势感知这么火,听安全专家为你讲述态势感知的三生三世

    11月2日下午,由安全牛主办的C·S系列活动新一代SOC与态势感知解决方案大会在北京丽亭华苑酒店举办。CS系列活动至今已经成功举办了三届,是国内唯一一个定位于网...

    安恒信息
  • 能处理200多亿城市数据,这款AI芯片具备自主学习能力

    历年来,央视的春晚都是潮流的风向标,反应了当下最流行的趋势。而2019年春晚的主角,无疑就是人工智能:不仅首次采用AI主持人,幕后也用到了大量的人工智能技术。

    新智元
  • 如何将安全运营转移到云端

    ESG公司最近进行的一项调查发现,很多组织正在积极地使用基于云计算的方案来替代内部部署安全分析和运营技术。这种转变既带来短期利益,也带来战略利益。

    静一

扫码关注云+社区

领取腾讯云代金券