共计 1429 个字符,预计需要花费 4 分钟才能阅读完成。
| 导读 | 面对将近五成的误报率,安全分析师正处在焦虑和失眠的煎熬中,只有自动化才是“安眠药”。 |
IDC 的最新报告调查了 350 位内部人士、MSSP 安全分析师和管理人员,结果显示,由于广泛的“警报疲劳”导致警报被忽略,以及担心漏报(遗漏安全事件),安全分析师的压力不断增加,而生产力则在下降。
FireEye 客户成功副总裁 Chris Triolo 说:“来自不同解决方案的大量误报警报使安全分析师不知所措,同时越来越担心它们可能会错过真正的威胁。”
“为解决这些挑战,分析人员要求使用先进的自动化工具,例如扩展检测和响应,以帮助减轻对遗漏事件的担忧,同时增强其 SOC 的网络安全能力。”
高达 45% 的安全警报误报,而 35% 的响应人员在队列拥挤时选择忽略警报!(下图)
误报会造成“警报疲劳”:尽管分析师和 IT 安全经理每天都会收到成千上万的警报,但受访者表示,其中 45% 的警报都是误报,导致内部分析师的工作效率降低,工作流程流程变慢。为了管理 SOC 中的警报过载,该组中 35% 的人表示他们选择忽略警报。
MSSP 安全托管服务服务商花费了更多的时间来筛选误报,但忽略的警报更多:MSSP 分析师表示,他们收到的警报中有 53% 是误报。同时,托管服务提供商的分析人员中有 44% 表示,当队列太满时,他们会忽略警报,这可能会导致涉及多个客户的违规行为。
随着分析师在手动管理警报方面面临更多挑战,他们对漏报事件的担忧也越来越多:四分之三的分析师担心漏报事件,四分之一的分析师“非常”担心漏报事件。
但是,FOMI 给安全经理造成的痛苦甚至超过了分析师:6% 以上的安全经理表示,由于担心遗漏事件而导致失眠。
目前,只有不到一半的企业安全团队使用工具自动化 SOC 活动,具体统计结果如下:
- 人工智能和机器学习技术(43%)
- 安全流程自动化和响应 (SOAR) 工具(46%)
- 安全信息和事件管理 (SIEM) 软件(45%)
- 威胁搜寻 (45%) 以及其他安全功能。
此外,只有五分之二的分析师将人工智能和机器学习技术与其他安全工具一起使用。
为了管理 SOC,安全团队需要先进的自动化解决方案来降低警报疲劳并通过专注于更高技能的任务 (例如威胁搜寻和网络调查) 来提高成功率:在对最容易自动化的安全工作进行排名时,威胁检测获得最高票数 (18% 分析师的心愿单),其次是威胁情报(13%) 和事件分类(9%)。
安全运营中心 (SOC) 的重心曾经是 SIEM。但是现在,随着 SOC 的任务转变为检测和响应组织,这种情况正在发生变化。
SIEM 已经存在了数十年,旨在通过规范多个技术供应商之间的警报来替换手动日志关联以识别可疑的网络活动。SIEM 从未设计成可以处理完整的威胁情报管理用例,也不能与诸如端点检测和响应 (EDR),网络检测和响应(NDR) 以及云检测和响应之类的现代安全工具和技术集成并处理大量数据。
新一代的 SOC 的检测和响应功能不会孤立在单个工具中,而是会扩展到整个生态系统。所需要的是一个平台,该平台可以与多个不同的内部和外部威胁与事件数据源 (包括来自 SIEM 的数据源) 集成,并支持与传感器网格的双向集成。具有这种功能的平台是加速安全操作的关键,并使现代 SOC 能够完成其任务。
