Esta no es una traducción [por], contiene mi experiencia personal y la interpretación. Este artículo apareció por primera vez en el número público de micro-canales personales - plataforma de gestión de la seguridad centrado, por favor suscribirse.
En enero de 2020, Ponemon publicó un informe titulado: informe de investigación "Economía del SOC tiene efecto en el final la cantidad de dinero". Encuesta mostró que: SOC gastar un montón de dinero, el efecto general, pero significativo .
A través de los 637 cuestionarios válidos [el texto no menciona la zona geográfica, el autor estima que los encuestados eran principalmente en América del Norte. El número mínimo de unidades desde 1000] Análisis Además de los encuestados, la auto gasto anual de $ 2,86 millones en el SOC. Lo que es sorprendente es que el comité gasto medio anual de SOC de construcción (servicios de compra MSSP) alcanzó $ 4,44 millones, significativamente más alto que el SOC de construcción propia, completamente inconsistente con las expectativas de la MSSP de las personas. Sólo el 17 por ciento de los encuestados dijo que su MSSP es "eficiente" . Además, el 51% de los encuestados unidad de detección de SOC para su ataque | efectividad golpe satisfecho. Mientras que el 44% dijo que su SOC ROI está empeorando.
A pesar de que el SOC ROI mediocre, pero la mayoría de los encuestados todavía el SOC como un elemento clave de su estrategia de seguridad de la red , especialmente en la reducción de falsas alarmas, informes de inteligencia de seguridad. Para lograr el efecto, el SOC es muy dependiente de los analistas profesionales para bloquear, detectar, analizar y responder a los incidentes de seguridad, y el alto costo de estos analistas profesionales. Con el fin de reducir los costes de personal, muchas unidades se volvieron a MSSP, pero se encontró de nuevo a gastar más, por lo tanto atrapados en un círculo vicioso.
Informar de un análisis detallado de los cinco aspectos:
1) El estado actual del SOC
31% de los encuestados afirmó SOC esencial, el 42% de los encuestados afirmó SOC es muy importante. SOC es el uso importante más: la reducción de falsos positivos (84%), informó Wei | inteligencia de amenazas (83%), el seguimiento de alarma y de análisis (77%), el | detección de intrusión (77%), el uso de automatización y ML (74 %), y así sucesivamente.
SOC hasta supervisar y gestionar dispositivos siguieron FW / IPS, UTM, IDS, barrido fugas, anti-D, la protección de código malicioso, otras sondas, y similares.
2) Las personas son las cuestiones clave
El informe muestra que las personas (analista) es la clave para el éxito de la SOC, SOC es el grueso del gasto . 67% de los encuestados dijo que el entrenamiento analista SOC es muy importante. Al mismo tiempo, los costos de empleo de operación y mantenimiento SOC / análisis ingeniero alta, organizaciones SOC encuestados (básicamente grandes unidades) un promedio de 12 expertos en seguridad informática, sólo el salario promedio de un analista en el $ 100.000 por año, los cuales el sueldo principal (45%) $ 75.000 por año a 10 millones. Dos tres se puede imaginar. Mientras tanto, el 45% de los encuestados dijo que en 2020 se espera que el salario promedio en aumento del 29%.
SOC necesita más gente, su gente, y para reclutar gente, educar a la gente, mantener a la gente difícil . Encuesta, los analistas en promedio tuvo un recluta a 3,5 meses, la formación que él / ella quiere pasar de 3,8 meses, pero los analistas trabajó en un tiempo promedio de una unidad es de sólo 27,2 meses. Además, la rotación de personal es alta.
Desde el punto de vista, seco y muy dura del analista . Uno de 70 por ciento de los encuestados acordados, analistas SOC debido al ambiente de alta presión y la carga de trabajo se agotó rápidamente, y esto es una razón clave por la que la gente se va.
Además analista de investigación del dolor, principalmente radica en la mayor carga de trabajo (75%), en espera 24/7/365 (69%), la falta de visibilidad (68%) de las TI y la infraestructura de red, alarma demasiados (65%) y la sobrecarga de información (65%). La figura siguiente:
3) Los factores clave que afectan al coste de SOC
El SOC de construcción propia se ha mencionado anteriormente gastar un promedio de $ 2,86 millones, de los cuales US $ 1.46 millones de dólares es el costo de mano de obra directa.
Además, la lógica de seguimiento en el que la posición del objetivo, que la industria, la complejidad del SOC en sí, el ataque de detección | el número de empleados afectará a la rentabilidad y golpear el SOC de la unidad.
En términos simples, el costo de monitoreo centro SOC para datos locales que entornos móviles y en la nube, mientras SOC coste más bajo para nube / monitorización local de mezclado; costo SOC del sector financiero relativo al máximo; el costo es SOC sustancialmente más complejo cuanto más alto; el efecto SOC es el costo unitario más significativo es también más alta ; cuantas más personas son, básicamente, el coste unitario se incrementará.
4) los problemas de construcción Comité SOC
Como se mencionó anteriormente, encargado de la construcción de manera MSSP SOC y de hecho no se paga, por lo tanto, el 40% de los encuestados la intención de cambio de modelo de construcción propia. 23% de las personas tiene la intención de proveedores de conmutación.
5) las características de SOC de alto rendimiento
Ponemon de 637 cuestionarios 134 copias piensa que su ataque detección SOC | golpeó muy eficaz clasificada como unidades SOC de alto rendimiento, entonces este grupo de unidades SOC de alto rendimiento en comparación con el SOC en general, y se encontró alguna información interesante.
En primer lugar, Autoridad SOC SOC alto rendimiento considera la importancia de una mayor estrategia global de seguridad; SOC SOC complejidad de las unidades de alto rendimiento ligeramente inferior a la media general del equipo a presión es también mejor, los analistas más estables, el futuro para mejor también se espera que sea mayor.
[I] pensamientos
A través de este informe, aunque el análisis del objeto se encuentra en América del Norte, pero también puede hacer la analogía doméstica. Por no hablar de que a partir de la construcción para construir mejores, para las unidades grandes, la construcción del SOC en los costos de insumos y ciertamente nivel millones (RMB). Sin embargo, la proporción de la construcción SOC cuesta en la proporción de la inversión total de la seguridad sin duda sigue siendo inferior parcial. Y estar seguro de que decir, la proporción de los costos de construcción de SOC hardware y sistemas de software es muy alta, lo que representa el costo de personal y analistas de operación y mantenimiento es muy bajo, o incluso ignorado. Esta es una diferencia significativa en el país y en el extranjero. Hace muchos años, yo estaba mencionado en varias ocasiones. [Véase, por ejemplo, " estructura de inversión seguridad de la información"" Plataforma de gestión de seguridad hace SOC no significa! "Y el autor del artículo publicado anteriormente en 51CTO] informe Ponemon indica al menos un poco, la construcción de SOC [en realidad más exacto decir que debe ser ejecutado SOC] personas en el mayor (146 dividido por 286 es mayor del 50%). Además de prestar atención para seleccionar la plataforma SOC apropiado y herramientas también tenga que gastar una gran cantidad de energía para las personas que utilizan SOC: cómo crear un equipo de sistema, cómo elegir las personas, educar a la gente sobre la forma, la forma humana, cómo la gente motivar, cómo mantener a la gente. El tema de RSAC2020 es "elemento humano", el informe fue publicado antes RSAC2020, pero también confirma esta consigna. Si nuestro país no es el caso ahora, entonces se convertirá así, tarde o temprano, la cosa en el futuro.
De hecho, los ingenieros de operación y mantenimiento SOC / analistas de esta carrera ha habido una mejora, un relativamente estrecho. Creo que el futuro va a exigir la rápida expansión de la brecha a medio plazo será grande. Mientras tanto, en virtud de la situación de escasez de mano de obra, dando a los ingenieros / analistas dijeron que las herramientas de mano es extremadamente urgente, que le ayudará / ella mejor distribución de su enfoque, las competencias básicas de liberación de enfoque.
Por último, todavía tienen que admirar de investigación a nivel de los estadounidenses. Limitado por diversas condiciones, el autor del análisis de grandes son cualitativos, y siempre será emitido varios informes de análisis cuantitativo (Sin importar el nivel de calidad), a los que miran al sentimiento C nivel no es el mismo. La investigación, estadísticas ...... en el ámbito doméstico de la seguridad de la red, o muy poco.
[Referencia]
Ponemon : SOC mejorar la eficacia de las
estructura de inversión seguridad de la información