安全運營中心是企業(yè)威脅控制策略的重要組成部分。Nemertes的2019-2020年云與網(wǎng)絡(luò)安全研究報告發(fā)現(xiàn)，43%威脅控制能力的提升與部署SOC相關(guān)。然而，無論是內(nèi)部還是外部管理的SOC，都會面臨人員、流程和技術(shù)方面的8個挑戰(zhàn)。

人員問題

SOC在人員方面面臨很大障礙，以下是三個主要問題：

人員短缺

技能短缺

知識短缺

挑戰(zhàn)1：人員短缺

在安全領(lǐng)域，企業(yè)長期面臨的困難是，缺乏訓(xùn)練有素、經(jīng)驗豐富的人員。而快速轉(zhuǎn)移到新的運營模式、云基礎(chǔ)架構(gòu)和云原生應(yīng)用程序架構(gòu)只會加劇這一問題。如果只有小部分企業(yè)應(yīng)用程序通過無服務(wù)器平臺交付，那么，采用無服務(wù)器關(guān)鍵任務(wù)系統(tǒng)的企業(yè)可找到并負擔(dān)具有相關(guān)知識和經(jīng)驗的SOC員工的可能性有多大？

挑戰(zhàn)2：技能短缺

技能短缺也是一個問題。當(dāng)企業(yè)無法聘請人員填補安全技能方面的空白時，只能讓現(xiàn)有人員去填補。他們加緊學(xué)習(xí)，但并非沒有問題。例如，如果SOC團隊無法熟練地使用監(jiān)視和管理工具來有效地干預(yù)威脅，則可能會導(dǎo)致響應(yīng)變慢和響應(yīng)失敗。當(dāng)工作人員努力設(shè)法找到正確功能去診斷事件然后進行干預(yù)，這會導(dǎo)致響應(yīng)很慢。而員工錯過工具所提供的指示或缺少阻止攻擊所需的干預(yù)措施，則將導(dǎo)致響應(yīng)失敗。

挑戰(zhàn)3：知識短缺

知識短缺與技能短缺密切相關(guān)。即使是那些精通所有系統(tǒng)管理工具的人，如果對所保護的系統(tǒng)環(huán)境知之甚少，他們也會失敗。對環(huán)境了解太少會導(dǎo)致無法識別問題本身，或者增加對不存在的問題做出不適當(dāng)響應(yīng)的機會。SOC團隊將收到更多的誤報和漏報，并浪費時間處理這些問題。最終，員工將無法對實際攻擊做出反應(yīng)。

流程問題

在流程方面（其中包括預(yù)算），SOC面臨兩個主要問題：

流程延遲

預(yù)算分配錯誤

挑戰(zhàn)4：流程延遲

流程延遲有兩個方面：系統(tǒng)和人員。系統(tǒng)流程延遲方面是指，SOC流程的發(fā)展速度不足以應(yīng)對SOC監(jiān)視的系統(tǒng)環(huán)境中的變化。人員方面的問題是，環(huán)境和流程的發(fā)展都快于人們對其的理解。這就是說，流程滯后于環(huán)境，而人員滯后于流程。

SOC流程并不是全面行動框架。員工很少時間花在臨時修復(fù)新流程，從而導(dǎo)致對問題的響應(yīng)緩慢而又不完整。而且，由于很多臨時流程最終都必須被丟棄，沒有被理解，因此造成工作人員和時間的雙重浪費。

挑戰(zhàn)5：預(yù)算分配錯誤

對于預(yù)算，Nemertes在研究中發(fā)現(xiàn)，很多IT企業(yè)沒有將安全預(yù)算作為風(fēng)險的基礎(chǔ)。取而代之的是，他們將安全性支出確定為IT總支出的部分百分比，或與某些同行基準(zhǔn)掛鉤。而那些根據(jù)風(fēng)險進行預(yù)算的企業(yè)（事故概率與造成的損害程度的交集），在確保企業(yè)安全方面更為成功，因為他們專注于緩解具有最大損害可能性的威脅，而不僅僅是很可能造成損害的威脅。

技術(shù)問題

技術(shù)也給SOC團隊帶來挑戰(zhàn)，主要三個問題包括：

缺乏適當(dāng)?shù)墓ぞ?/p>

分析和篩查不足

缺乏自動化和集成

挑戰(zhàn)6：缺乏適當(dāng)?shù)墓ぞ?/p>

缺乏適當(dāng)?shù)谋O(jiān)視和管理工具通常是因為所監(jiān)視的系統(tǒng)環(huán)境快速變化導(dǎo)致。系統(tǒng)從數(shù)據(jù)中心遷移到云環(huán)境可能也需要新的安全工具。在容器中開發(fā)和部署的應(yīng)用程序需要保護，但是SOC可能沒有任何工具可以使他們看到這些系統(tǒng)，也沒有辦法可干預(yù)該環(huán)境。

挑戰(zhàn)7：分析和篩查不足

對于SOC，分析和篩查是必要的工具，但這二者通常不足。在SOC中，令人難以置信的破壞性問題是，其中的工作人員經(jīng)常要面對大量令人誤解的誤報安全警報，而員工是IT中最稀缺的資源。那些能夠更好地識別誤報、清除重復(fù)項并在整個系統(tǒng)中關(guān)聯(lián)警報以幫助進行威脅檢測的工具，對于限制警報疲勞以及創(chuàng)建和維護可持續(xù)的SOC操作至關(guān)重要。

挑戰(zhàn)8：缺乏自動化和集成

同樣，SOC中的人員轉(zhuǎn)移到跨系統(tǒng)的集成點（也稱為轉(zhuǎn)椅集成）會引起人為錯誤。通過將員工鎖定在重復(fù)任務(wù)，他們實例化對安全事件的標(biāo)準(zhǔn)響應(yīng)工作流程，企業(yè)會增加員工的疲勞和倦怠，并將事件響應(yīng)速度限制在人類范圍內(nèi)：員工感知時間加上員工理解時間加上員工響應(yīng)時間。自動化和集成對于避免這些問題至關(guān)重要。

企業(yè)將繼續(xù)顯示出對SOC的需求，但是IT必須解決這8項挑戰(zhàn)-如果SOC外包則必須與提供商合作-以確保企業(yè)得到最佳保護。
責(zé)編AJX