2021年SecOps的五大趋势

随着远程办公的常态化，企业数字化转型加速，全球安全专业人员持续短缺，网络安全的游戏规则正在快速变化，全球每个组织都面临着新的挑战。监控不断增长的攻击面的重要程度日益提升，在CyberRes最新发布的2021 SecOps安全运营状况报告中，40%的受访者认为这是他们的首要关注点。

幸运的是，很多企业已经开始采取行动。绝大多数企业认识到需要额外追加安全投资，84%的企业增加了安全运营中心(SOC)和培训方面的支出，远程访问监控、基于云的安全采用以及威胁情报等更多安全领域的投资也在增长。总体而言，2020年报告记录的SecOps相关的支出增长了6.4%，预计今年将进一步增长12.4%。

以下是我们对SecOps五大趋势的预测：

多年来，尽管大多数公司已经意识到企业的安全边界已经消失，但整体防御思维仍然顽固不化。然而，2020年全球突然转向分布式劳动力，迫使人们重新思考。SOC现在必须专注于对设备和用户身份的精细访问控制以及行为异常检测——因为基础设施的网络威胁已经远远超出传统安全边界的范围。

许多人转向机器学习和自动化，以检测不良行为者并快速消除威胁。到目前为止，自动化的首要任务是风险评估，其次是威胁搜寻、情报分析和攻击面管理的自动化。大约30%的人认为自动化修复任务是自动化的首要用例，而近四分之一(23%)的人认为通过自动化向高管报告风险的流程是优先事项。

攻击面管理(ASM)能够发现、跟踪、分类和监控网络中或员工使用的资产——从笔记本电脑到路由器，从软件到云服务。由于许多公司认为不断增长的攻击面是一个主要问题，因此找到减少信息技术和基础设施暴露面的技术和流程至关重要。

ASM工具试图在“如果你没有找到，攻击者会找到它”的假设下找到最薄弱的环节。虽然ASM解决方案是一项相对较新的技术，但目前有超过一半的受访者在其组织内进行了此类工作，大约40%的受访者打算在未来12个月内实施这些工作。

专用的企业自建的SOC设施旨在为分析师和工程师提供最高的生产力和舒适度。而各种指挥中心里的大量花里胡哨的设施和技术，事实上更多是一种作秀，为了给参观的潜在客户留下深刻印象。如今，新冠疫情的影响迫使许多SecOps团队在完全远程的环境中进行威胁检测和响应。几个月过去了，SecOps领导者了解到，他们所做的几乎所有事情都可以远程完成，并且发现现在远程工作是可以接受的，而且还更容易保留熟练的技术人才和资源。因此，我们看到85%的组织增加了对云安全服务和技术的采用。

可以说，最关键的安全运营流程是对防御能力的定期评估。具有前瞻性的安全运营团队越来越多地使用红队演习（即模拟对手的行动）作为此流程的一部分，以确保强大的网络安全态势。超过93%的受访者认为红队是安全运营的一项基本活动。几乎一半的人将他们的红队结果报告给董事会进行尽职调查，而三分之一的人将结果作为风险和准备报告的一部分与CISO分享。

定期评估威胁模型也至关重要，因为威胁模型与技术一样，会迅速老化并可能失去相关性。幸运的是，大多数组织(85%)表示他们至少每六个月评估一次威胁模型。

虽然外包使公司能够接触到所需的专家并释放员工生产力，但许多组织仍然用不信任目光看待外包，尤其是对于安全运营。然而，对于许多组织而言，不断增长的SecOps复杂性使得外包SOC功能的成本效率不仅具有吸引力，而且是必要的。许多企业开始尝试简化内部运营工作。考虑到寻找顶尖安全人才的难度，不难理解为什么外包往往是阻力最小的路径。

因此，几乎所有公司(92%)都发现他们至少需要外包部分SecOps职能。然而，对外包的犹豫仍然是常态：只有24%的受访企业完全外包了1到3个安全功能，只有4%的企业将三个以上的功能完全外包。

总结：SecOps团队必须适应变化

公司需要克服远程办公新常态和安全专业人员短缺的挑战，根据云的需求调整其安全性。采用威胁建模框架、实施管理攻击面的流程以及在整个安全运营领域积极推动自动化将有助于提高公司的安全成熟度。

https://www.microfocus.com/en-us/assets/security/2021-state-of-security-operations