【按】本文不是译文,包含了笔者个人体会和解读。本文首发于个人微信公众号——专注安管平台,欢迎订阅。



2020年1月份,Ponemon发布了一份题为《SOC的经济学:出效果到底要花多少钱》的调研报告。调查表明:SOC花费不菲,效果一般,但意义重大


通过对637份有效问卷【文中未提及地理区域,笔者估计受访者主要是北美地区。此外受访者所在单位人数最低1000人起】的分析,自建SOC的年均支出在286万美元。而令人意外的是,委建SOC(购买MSSP服务)的年均支出达到了444万美元,大幅高出自建SOC,与人们对MSSP的预期完全不符。只有17%的受访者表示他们的MSSP是“高效的”。此外,51%的受访单位对于他们SOC检测攻|击的有效性表示满意。而有44%的人表示其SOC的投资回报率正在恶化。

尽管SOC的投资回报率平平,但大部分受访者依然将SOC视为其网络安全战略的关键要素,尤其是在降低误报、报告安全情报方面。为了达成效果,SOC十分依赖于专业的分析师去阻断、检测、分析和响应安全事件,而这些专业分析师的成本很高。为了降低人员开支,不少单位转而求助于MSSP,但回头发现花费更多,因而陷入了恶性循环。


报告从五个方面进行了详细分析:

1)当前SOC现状

有31%的受访者表示SOC必不可少,42%的受访者表示SOC十分重要。SOC最重要的用处在于:降低误报(84%)、报告威|胁情报(83%)、监控与分析告警(77%)、入|侵检测(77%)、自动化和ML的运用(74%),等。

SOC最多监控和管理的设备依次是FW/IPS、UTM、IDS、漏扫、抗D、恶意代码防护、其它探针,等。

2)人是问题的关键

报告显示,人(分析师)是SOC成功的关键,也是SOC支出的大头。67%的受访者表示培训SOC分析师十分重要。同时,SOC运维/分析工程师的雇佣成本很高,受访组织(基本是大型单位)的SOC平均有12个IT安全专家,仅仅是一级分析师的平均薪资就在10万美元每年,其主力薪资(45%)在7.5万~10万美元每年。二级三级可想而知。同时,45%的受访者表示2020年薪酬预计要上涨平均29%。

SOC需要的人多、人贵,而招人、育人、留人也难。调查显示,招聘到一个分析师平均耗时3.5个月,培训他/她又要花费3.8个月,但分析师在一个单位的平均供职时间只有27.2个月。此外,人员的流动性也很高。

从分析师的角度来看,干的也很辛苦。70%的受访者同意,SOC分析师由于高压环境和工作量而很快就精疲力尽,这也是人员离职的关键原因之一。

进一步研究分析师的痛处,则主要在于工作量增加(75%),24/7/365待命(69%),对IT和网络基础架构缺乏可见性(68%),告警太多(65%)和信息超载(65%)。如下图:

3)影响SOC成本的关键因素

先前提到自建SOC的年均花费是286万美元,这其中有146万美元是直接劳动力成本。

此外,被监控目标所在的逻辑位置、所处的行业、SOC自身复杂度、检测攻|击的有效性和所在单位的员工人数都会影响到SOC的成本。

简单来说,针对本地数据中心进行监控的SOC成本高于移动和云环境的,而针对云/本地混合型进行监控的SOC成本最低;金融行业的SOC成本相对最高;SOC越复杂基本上成本也越高;SOC效果越显著的单位成本也更高;单位人越多基本上成本也会递增。

4)委建SOC的问题

如前所述,委托MSSP建设SOC的方式其实并不合算,因此,有40%的受访者打算换回自建模式。23%的人打算更换供应商。


5)高绩效SOC的特点

Ponemon针对637份问卷中134份自认为自己的SOC检测攻|击十分有效的划为高绩效SOC单位,然后将这组高绩效SOC单位与整体SOC情况相比较,发现了一些有趣的信息。

首先,高绩效SOC单位认为SOC对于整体安全战略的重要性更高;高绩效SOC单位的SOC复杂度略低于整体均值,团队承压性也更好,分析师更稳定,对未来发展向好的预期也更高。


【笔者的感想】

透过这份报告,尽管分析对象是北美地区,但对我们国内也可以做些类比。且不说自建委建孰优孰劣,对于大型单位而言,建设SOC的年投入成本肯定也是数百万(人民币)级别的。不过,SOC建设成本的占比在整个安全投入的比重肯定还是偏底。而且可以肯定的说,SOC建设成本硬件设备及软件系统的占比十分高,运维人员和分析师的成本占比很低,甚至被忽略了。这就是国内外的一个重大差异。好多年前,我就反复提到过。【譬如参见《信息安全的投资结构》、《安全管理平台不等于SOC!》等笔者早前发表于51CTO的文章】Ponemon的报告至少指明了一点,建设SOC【其实更准确的说应该是运行SOC】人的投入是大头(146除以286大于50%)。除了要关注选取合适的SOC平台和工具,还需要花费大量的精力到使用SOC的人身上:如何建立人员团队体系,如何选人、如何育人,如何用人、如何激励人、如何留人。RSAC2020的主题是“human element”,这个报告发表于RSAC2020之前,但却很好印证了这个slogan。 如果我们国内现在不是这样,那么将来一定会变成这样,早晚的事儿。


其实,SOC运维工程师/分析师的这个职业已经有了起色,比较紧俏了。相信未来的需求量会急剧膨胀,缺口中期来看会很大。同时,在人手紧缺的情形之下,赋予工程师/分析师称手的工具也显得极为迫切,这将有助于他/她们更好的分配自己的工作重心,聚焦核心能力的释放。


最后,还是要佩服一下老美调研的水平。囿于各种条件,笔者的分析大都是定性的,而他们总是会出具一些定量分析的报告(姑且不论质量高低),给到C Level的人看起来感觉就是不一样。调查研究、统计学……,在国内网络安全领域还是太少了。


【参考】

Ponemon:提升SOC的有效性

Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系

信息安全的投资结构