近日，网络安全研究机构SANS发布《2024年SOC调查报告》，通过对来自科技、政府、网络安全和教育等行业的403名安全分析师、SOC分析师进行调查，以帮助SOC用户切实提升自身的运营水平。

调研显示：

• 更多组织认为，通过SOC运营让入侵和安全事件呈下降趋势。攻击的损害也在下降。 

• 被调查SOC工作人员提及最多的障碍是缺乏自动化和编排。 

• 47 种SOC技术中，EXDR 仍然是满意度最高，AI/ML 则最低。 

• 大多数 SOC 都是 24x7 全天候运行，其中约有一半采用不同时区配合的“逐日模式”。 

• SOC 经常外包的项目是渗透测试、取证、威胁情报和警报分类。

1、云架构成为顶层架构

“基于云的”SOC服务模式现已成为最常见的架构，超过单一集成的SOC。迁移上云的趋势已在IT界持续了很多年，现已延伸嵌入SOC架构中。 

2、“SIEM一切”常态化 

针对如何处理海量数据的问题，受访者似乎没有花太多精力进行过滤，而是把所有东西都倾倒入SIEM中（见下图）。这个答案似乎是违反直觉的，但相比在收集数据前花费大量精力去弄清楚实际需要什么，通过SIEM显然更具成本效益。数据显示，将一切数据导入SIEM的比例较2023年有所增加，达到38%。2023的比例为29%。 

3、单一集中架构SOC比例增加 

构建SOC的方法有很多。拥有单一集中架构的SOC是最常见的方法（如下图所示），403名受访者中有242名受访者如此认为，占比达60%）。这一比例与2023年的49%和2022年的53%有所增加。 

4、威胁狩猎自动化不断增长 

针对威胁狩猎活动是否实现自动化的问题，388个回复中，有179人使用供应商提供的工具实现了部分自动化（如下图所示）。2023年，在457个受访者中，只有38%的人表示“使用供应商工具实现部分自动化”，而今年这一比例为46.1%。

威胁狩猎的主要目标是发现组织警报系统没有检测到的入侵行为。有一种重要但简单的方法是将新发现的失陷指标用于历史数据存储库。

报告认为，使用更新的失陷指标（IOC）开展溯源分析，只是最基础的威胁狩猎。真正的威胁狩猎需要对此前未被发现的线索进行仔细的分析。

报告建议，持续深入推进溯源分析自动化，并努力开展高级的威胁狩猎。 

5、AI/ML技术满意度下跌

2023年，SANS首次将AI/ML添加到技术满意度列表中，当时排在最后一名。今年，情况有所变化，但仍不容乐观。从2023年到2024年，全部或部分 生产或正在实施的百分比没有太大变化。但计划实施的AI/ML的比例却呈现下降趋势：2023年20.5%的组织表示计划实施降至2024年的10.6%。另一个需要探索的想法是，已经购买这些技术的买家是否存在“后悔情绪”。SANS每年都会提供基于GPA的评分。2023年，AI/ML的GPA为2.17，仅击败了GPA最低的“网络数据包分析”（2.15）。今年，它再次排在倒数第二，但平均绩点更低，仅为1.99。有人认为，绩点下降的原因是受访者在2024年的评分更加严格。但也有评分高于去年的存在：EXDR保持了第一的位置，评分也从2023年的2.88上升至2024年的3.13。因此，报告得出的结论是，与2023年相比，2024年的网络安全人员对AI/ML的满意度下跌。 

6、TLS拦截缺乏可见性 

随着隐私意识的进一步加强，企业对网络流量的可见性降低了。SOC正在失去对离网流量的可见性，这可能意味着需要更多依赖端点保护工具。TLS拦截地址存在盲目性或缺乏对数据的可见性。其中一种方法是将传输层安全性（TLS）拦截技术引入到加密通信。这一做法变得越来越难做到。2024年的调查表明，这一数字与2023年相比略有下降。2024年，34%的人表示“我们没有使用任何TLS拦截来查看HTTPS或其他加密通信”；2023年这一比例只有25%。2023年，有38%的受访者表示“实施了TLS拦截，由于公司政策和/或用户隐私考虑，某些类别的网站被排除在拦截之外。”2024年这一比例下降至34%。 

7、SOC面临的最大挑战 

针对组织SOC目前面临的最大障碍是什么的问题，18.3%受访者选择了“缺乏自动化和编排”；紧随其后的两个答案是直接相关的——“高人员配备需求”（14.4%）和“缺乏熟练员工”（14.2%）。第四个常见的问题是“缺乏企业级的可见性”，占比12.9%。

其他挑战还包括安全、应急响应和运营人员间的孤岛思维、缺乏管理层支持、太多工具未能实现集成、缺乏上下文关联、警报疲劳、缺乏操作流程和指南以及合规要求等。

报告认为，高人员配备和人手不足是紧密相连的。人员岗位职责要求高比人手不足更可怕，因为高要求意味着人手更难以补足。另一方面，岗位要求高也说明安全运营的难度大，复杂性高。这就进一步推动了“安全自动化”需求的增长。由此可见，随着技术的不断发展，以及威胁格局的持续演进，自动化成为组织的迫切需求。与此同时，与人才相关的问题仍在持续困扰组织。

人员配备一直是SOC关注的问题。熟练的分析师才能长时间在高压环境下表现良好，人员留存率是一个长期的挑战。SANS调查询问了受访者平均工作年限，结果显示3～5年任期的人员比例，略高于1～3年工作年限。这对希望降低成本、及不断招聘和培训的不确定性的组织来说是积极的信号。

调查结果显示，组织对一级诊断和分析的自动化程度不断提高，使SOC分析师能够专注于更具战略性和智力刺激的活动，如威胁狩猎和高级事件响应，这缓解了分析师的职业倦怠问题。

其他因素也促进了人员留存率的提高，包括更好的工作环境，远程和灵活的工作时间，以及对高绩效员工的管理领导力培训。此外，对于想要保持技术的安全分析师来说，组织正在投入更多的培训和认证机会，例如渗透测试、反向恶意软件工程和云安全主题领域。

今年的调研还对不同岗位（初级分析师、通才型分析师、专职监测分析师、专职响应人员、专职威胁情报分析师和IT支持人员）的规模进行了深入调查。结果显示，最流行的SOC员工规模是2～10人，比去年的11～15人降低了一档，这也从侧面凸显人员短缺的影响。

2024年对SOC岗位技能和非技能需求进行了调研。结果显示，新员工需要熟悉的三大最重要的技术分别为SIEM分析、基于主机的XDR，以及漏洞消除。除了前三大技能外，SOC分析师目前必备的核心技能还包括：事件处理和响应、威胁搜索、云安全、数字取证、Python、PowerShell和bash脚本。至于软技能，则包括批判性思维和创造性，解决问题的能力，在快速变化的环境中对细节的关注，以及技术和人际层面的沟通技巧。

SANS在调查中列出了SOC应具备的能力（流程）。被调查人员对SOC应具备的能力达成强烈共识。

其中，最重要的能力（流程）依次包括：告警（分诊与升级）、安全监测和检查、事件响应、安全管理、安全架构与工程、SOC成熟度自我评估、漏洞评估、渗透测试、恢复、SOC架构与工程、数字取证等。

SOC主要能力

值得一提的是，渗透测试、数字取证、威胁情报和初始警报分类是经常被全外包或者内外部同时开展的项目。相反地，安全管理、安全路线图映射和规划、安全架构与工程、入侵减缓、安全工具配置与集成是最少被外包的项目。

主要在内部完成的SOC项目

主要通过外包完成的SOC项目。

SANS报告对SOC涉及的47种技术进行了满意度调查，并采用 GPA 方法来描述技术满意度。

结果表明，2024年EDR& XDR技术的GPA得分为 A，名列榜首。AI/ML 在满意度中占据了倒数两位。 

满意度较高的技术依次是EDR/XDR、VPN、SWG/SEG、SIEM、NGF、MPS、IDS/IPS、持续监控和评估、DoS/DDoS防护、端点OS监测与日志分析、恶意软件防护、DNS防火墙、网络流量监控等。 

最不满意的技术则包括：AI和ML、欺骗技术（如蜜罐）、网络连接分析、全包捕获、网络流量分析。此外，对SOAR、威胁情报平台（TIP）、威胁猎杀、数据丢失防护、SSL/TLS流量检测的满意度也不太高。

值得一提的是，AI或GPT排名最低，只有51人选择这一选择。2024年，SANS调查中添加了 AI/ML 生成式Transformer，因为自生成式预训练Transformer（GPT）版本 3 发布以来，ChatGPT 就吸引了公众的想象力。SOC 员工似乎还没有留下深刻的印象。

GPT产品从天而降，试图优化企业SOC。但对SOC来说，资金是一大挑战。报告认为， GPT可以推动SOC沟通优化，提升分析师对信息的理解，但还不能取代分析师。

SOC 不仅要评判外部服务提供商，还会评估自身绩效。

SOC 使用评价指标来评估绩效。 其中，外包项目（渗透测试、取证、威胁情报和警报分类）最常见的评价指标是处理事件的数量。紧随其后的指标包括根除的彻底性（没有复发的最初或类似入侵）、从发现到遏制再到根除的时间、由于已知/未知漏洞而发生的事件等等。

与质量指标相结合时，基于时间的指标非常有用。过去“事件数量”被认为是一个足够合理的指标，但建立服务等级协议（SLA），并依据安全事件数量，来满足协议似乎不太可能。

安全运营中⼼ (SOC) 是组织⽹络安全实践的核⼼组成部分。多年来，SOC分析师很容易出现严重的、令人心力交瘁的倦怠，这是因为无休止的手动警报流程、严重的警报疲劳以及大量消耗精力和动力的误报。

SANS的最新 SOC调查显示，形势正在好转，SOC分析师的心理健康状况正在改善。自动化终于消除了警报疲劳，让SOC分析师在一天中节省了宝贵的时间，以便对组织的安全态势产生积极、积极的影响。

此外，包括原生云化SOC架构、SOC留存率的提升都显示出积极的变化。但调查还显示，人工智能在优化SOC方面依然有很长的路要走。

END