人员问题
SOC在人员方面面临很大障碍,以下是三个主要问题:
- 人员短缺
- 技能短缺
- 知识短缺
挑战1:人员短缺
在安全领域,企业长期面临的困难是,缺乏训练有素、经验丰富的人员。而快速转移到新的运营模式、云基础架构和云原生应用程序架构只会加剧这一问题。如果只有小部分企业应用程序通过无服务器平台交付,那么,采用无服务器关键任务系统的企业可找到并负担具有相关知识和经验的SOC员工的可能性有多大?
挑战2:技能短缺
技能短缺也是一个问题。当企业无法聘请人员填补安全技能方面的空白时,只能让现有人员去填补。他们加紧学习,但并非没有问题。例如,如果SOC团队无法熟练地使用监视和管理工具来有效地干预威胁,则可能会导致响应变慢和响应失败。当工作人员努力设法找到正确功能去诊断事件然后进行干预,这会导致响应很慢。而员工错过工具所提供的指示或缺少阻止攻击所需的干预措施,则将导致响应失败。
挑战3:知识短缺
知识短缺与技能短缺密切相关。即使是那些精通所有系统管理工具的人,如果对所保护的系统环境知之甚少,他们也会失败。对环境了解太少会导致无法识别问题本身,或者增加对不存在的问题做出不适当响应的机会。SOC团队将收到更多的误报和漏报,并浪费时间处理这些问题。最终,员工将无法对实际攻击做出反应。
流程问题
在流程方面(其中包括预算),SOC面临两个主要问题:
- 流程延迟
- 预算分配错误
挑战4:流程延迟
流程延迟有两个方面:系统和人员。系统流程延迟方面是指,SOC流程的发展速度不足以应对SOC监视的系统环境中的变化。人员方面的问题是,环境和流程的发展都快于人们对其的理解。这就是说,流程滞后于环境,而人员滞后于流程。
SOC流程并不是全面行动框架。员工很少时间花在临时修复新流程,从而导致对问题的响应缓慢而又不完整。而且,由于很多临时流程最终都必须被丢弃,没有被理解,因此造成工作人员和时间的双重浪费。
挑战5:预算分配错误
对于预算,Nemertes在研究中发现,很多IT企业没有将安全预算作为风险的基础。取而代之的是,他们将安全性支出确定为IT总支出的部分百分比,或与某些同行基准挂钩。而那些根据风险进行预算的企业(事故概率与造成的损害程度的交集),在确保企业安全方面更为成功,因为他们专注于缓解具有最大损害可能性的威胁,而不仅仅是很可能造成损害的威胁。
技术问题
技术也给SOC团队带来挑战,主要三个问题包括:
- 缺乏适当的工具
- 分析和筛查不足
- 缺乏自动化和集成
挑战6:缺乏适当的工具
缺乏适当的监视和管理工具通常是因为所监视的系统环境快速变化导致。系统从数据中心迁移到云环境可能也需要新的安全工具。在容器中开发和部署的应用程序需要保护,但是SOC可能没有任何工具可以使他们看到这些系统,也没有办法可干预该环境。
挑战7:分析和筛查不足
对于SOC,分析和筛查是必要的工具,但这二者通常不足。在SOC中,令人难以置信的破坏性问题是,其中的工作人员经常要面对大量令人误解的误报安全警报,而员工是IT中最稀缺的资源。那些能够更好地识别误报、清除重复项并在整个系统中关联警报以帮助进行威胁检测的工具,对于限制警报疲劳以及创建和维护可持续的SOC操作至关重要。
挑战8:缺乏自动化和集成
同样,SOC中的人员转移到跨系统的集成点(也称为转椅集成)会引起人为错误。通过将员工锁定在重复任务,他们实例化对安全事件的标准响应工作流程,企业会增加员工的疲劳和倦怠,并将事件响应速度限制在人类范围内:员工感知时间加上员工理解时间加上员工响应时间。自动化和集成对于避免这些问题至关重要。
企业将继续显示出对SOC的需求,但是IT必须解决这8项挑战-如果SOC外包则必须与提供商合作-以确保企业得到最佳保护。