信息来源：安全牛

ESG 的最新研究显示，企业安全运营和安全分析已经陷入泥沼，只有做出重大改变才能脱离困境。为了探究当下企业安全分析和运营面临的挑战，ESG 调查了来自北美各行业中大型企业的 406 位 IT 和安全专业人员，得出以下结论：

1. 安全分析和运营越来越难

近三分之二 (63％) 的受访者声称，如今的安全分析和运营比两年前更加困难。外部变化和内部挑战更是让难度每日剧增。

外围调查结果显示，41％ 的安全专家认为，由于威胁形势的快速变化，现在安全分析和运营变得更加困难，30％ 的专业人士认为，是攻击面的不断增加导致难度持续上升，安全团队别无选择，只能咬牙紧跟外部动态和趋势。在企业内部调查中，35％ 的受访者认为安全性分析和运营比过去变得更加困难，主要因为安全数据比两年前要多得多；34％ 的受访者表示，安全警报的数量在过去两年中有所增加，另有 29％ 的人抱怨很难跟上安全运营任务的数量和复杂性。

2. 安全数据管理难题：更多数据，更多问题

与两年前相比，将近三分之一的企业和组织 (32％) 为网络安全分析和运营采集的数据大幅度增加，44％ 的企业和组织安全数据有小幅增长。而且，与过去相比，有 52％ 的组织保留安全 “热数据”的时间更长。大量的实时和历史安全数据形成了体积庞大的数据存储库，这些数据库既昂贵又难以管理。

安全分析师们经常抱怨的问题就是：数据太多反而找不到数据。

3. 传统的本地SIEM方案并不完整

高达 70％ 的企业仍然依赖安全信息和事件管理 (SIEM) 系统来进行安全分析和运营。此外，很多企业的安全运营中心 (SOC) 团队还围绕 SIEM 配备了用于威胁检测/响应、调查/查询、威胁情报分析以及流程自动化/编排的其他工具。这就产生了一个问题：如果 SIEM 是安全分析和运营的 “重器”，为什么企业还要补充那么多其他工具？

研究表明，尽管 SIEM 擅长发现已知威胁并生成安全与合规性报告，但它并不适合检测未知威胁或其他安全运营场景。而且，有 23％ 的安全专家表示 SIEM 平台需要大量的人员培训和经验，而 21％ 的人则认为 SIEM 需要不断调优并消耗大量运营资源才能发挥作用。总之，SIEM 不会很快失宠，但显然还远远不够。

4. 人才和技能短缺仍然普遍存在

四分之三的受访者认为，网络安全技能短缺已经影响了组织的安全分析和运营。CISO 不能简单地通过招兵买马来摆脱困境吗？这并非易事：70％ 的安全专家表示，招募和雇用 SOC 人员比较困难或者非常困难。很多企业已经开始通过购买可管理安全服务（托管服务）来解决技能差距。今天，有 74％ 的组织使用可管理安全服务（用于安全分析和运营），而 90％ 的企业计划在将来增加对托管安全服务的使用。不久的将来，SOC 将不再是一个人（企业）的战斗。

5. 安全分析和运营技术正在迁移到公有云

过去，CISO 倾向于对本地安全分析和运营技术进行手动控制，但眼下趋势已变。研究表明，有 41％ 的组织更喜欢基于云的安全分析和运营技术，而另外 17％ 的组织愿意试点云安全分析和运营技术。

为什么要迁移到云？最明显的原因是要规避内部安全分析和安全运营基础设施的成本和复杂性（即数据采集/处理器、负载平衡器、服务器、存储设备等的部署和运营）。更为重要的一点是，很多企业的安全运营主管认为，可动态扩展的云计算和存储资源可以提供远高于本地系统的分析能力，基于海量安全数据集上的机器学习算法和应用尤其如此。