阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

自动化才能解放安全团队

75次阅读
没有评论

共计 1429 个字符,预计需要花费 4 分钟才能阅读完成。

导读面对将近五成的误报率,安全分析师正处在焦虑和失眠的煎熬中,只有自动化才是“安眠药”。

IDC 的最新报告调查了 350 位内部人士、MSSP 安全分析师和管理人员,结果显示,由于广泛的“警报疲劳”导致警报被忽略,以及担心漏报(遗漏安全事件),安全分析师的压力不断增加,而生产力则在下降。

自动化才能解放安全团队

FireEye 客户成功副总裁 Chris Triolo 说:“来自不同解决方案的大量误报警报使安全分析师不知所措,同时越来越担心它们可能会错过真正的威胁。”

“为解决这些挑战,分析人员要求使用先进的自动化工具,例如扩展检测和响应,以帮助减轻对遗漏事件的担忧,同时增强其 SOC 的网络安全能力。”

高误报率加剧警报疲劳

高达 45% 的安全警报误报,而 35% 的响应人员在队列拥挤时选择忽略警报!(下图)
自动化才能解放安全团队

误报会造成“警报疲劳”:尽管分析师和 IT 安全经理每天都会收到成千上万的警报,但受访者表示,其中 45% 的警报都是误报,导致内部分析师的工作效率降低,工作流程流程变慢。为了管理 SOC 中的警报过载,该组中 35% 的人表示他们选择忽略警报。

MSSP 安全托管服务服务商花费了更多的时间来筛选误报,但忽略的警报更多:MSSP 分析师表示,他们收到的警报中有 53% 是误报。同时,托管服务提供商的分析人员中有 44% 表示,当队列太满时,他们会忽略警报,这可能会导致涉及多个客户的违规行为。

大多数安全分析人员和管理人员担心会漏报事件(FOMI)

随着分析师在手动管理警报方面面临更多挑战,他们对漏报事件的担忧也越来越多:四分之三的分析师担心漏报事件,四分之一的分析师“非常”担心漏报事件。

但是,FOMI 给安全经理造成的痛苦甚至超过了分析师:6% 以上的安全经理表示,由于担心遗漏事件而导致失眠。

分析师需要自动化的 SOC 解决方案来对抗 FOMI

目前,只有不到一半的企业安全团队使用工具自动化 SOC 活动,具体统计结果如下:

  • 人工智能和机器学习技术(43%)
  • 安全流程自动化和响应 (SOAR) 工具(46%)
  • 安全信息和事件管理 (SIEM) 软件(45%)
  • 威胁搜寻 (45%) 以及其他安全功能。

此外,只有五分之二的分析师将人工智能和机器学习技术与其他安全工具一起使用。

为了管理 SOC,安全团队需要先进的自动化解决方案来降低警报疲劳并通过专注于更高技能的任务 (例如威胁搜寻和网络调查) 来提高成功率:在对最容易自动化的安全工作进行排名时,威胁检测获得最高票数 (18% 分析师的心愿单),其次是威胁情报(13%) 和事件分类(9%)。

SOC 自动化的重心不应该是 SIEM

安全运营中心 (SOC) 的重心曾经是 SIEM。但是现在,随着 SOC 的任务转变为检测和响应组织,这种情况正在发生变化。

SIEM 已经存在了数十年,旨在通过规范多个技术供应商之间的警报来替换手动日志关联以识别可疑的网络活动。SIEM 从未设计成可以处理完整的威胁情报管理用例,也不能与诸如端点检测和响应 (EDR),网络检测和响应(NDR) 以及云检测和响应之类的现代安全工具和技术集成并处理大量数据。

新一代的 SOC 的检测和响应功能不会孤立在单个工具中,而是会扩展到整个生态系统。所需要的是一个平台,该平台可以与多个不同的内部和外部威胁与事件数据源 (包括来自 SIEM 的数据源) 集成,并支持与传感器网格的双向集成。具有这种功能的平台是加速安全操作的关键,并使现代 SOC 能够完成其任务。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计1429字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中