| 面對將近五成的誤報率,安全分析師正處在焦慮和失眠的煎熬中,只有自動化纔是“安眠藥”。 |
IDC的最新報告調查了350位內部人士、MSSP安全分析師和管理人員,結果顯示,由於廣泛的“警報疲勞”導致警報被忽略,以及擔心漏報(遺漏安全事件),安全分析師的壓力不斷增加,而生產力則在下降。
FireEye客戶成功副總裁Chris Triolo說:“來自不同解決方案的大量誤報警報使安全分析師不知所措,同時越來越擔心它們可能會錯過真正的威脅。”
“爲解決這些挑戰,分析人員要求使用先進的自動化工具,例如擴展檢測和響應,以幫助減輕對遺漏事件的擔憂,同時增強其SOC的網絡安全能力。”
高達45%的安全警報誤報,而35%的響應人員在隊列擁擠時選擇忽略警報!(下圖)
誤報會造成“警報疲勞”:儘管分析師和IT安全經理每天都會收到成千上萬的警報,但受訪者表示,其中45%的警報都是誤報,導致內部分析師的工作效率降低,工作流程流程變慢。爲了管理SOC中的警報過載,該組中35%的人表示他們選擇忽略警報。
MSSP安全託管服務服務商花費了更多的時間來篩選誤報,但忽略的警報更多:MSSP分析師表示,他們收到的警報中有53%是誤報。同時,託管服務提供商的分析人員中有44%表示,當隊列太滿時,他們會忽略警報,這可能會導致涉及多個客戶的違規行爲。
隨着分析師在手動管理警報方面面臨更多挑戰,他們對漏報事件的擔憂也越來越多:四分之三的分析師擔心漏報事件,四分之一的分析師“非常”擔心漏報事件。
但是,FOMI給安全經理造成的痛苦甚至超過了分析師:6%以上的安全經理表示,由於擔心遺漏事件而導致失眠。
目前,只有不到一半的企業安全團隊使用工具自動化SOC活動,具體統計結果如下:
- 人工智能和機器學習技術(43%)
- 安全流程自動化和響應(SOAR)工具(46%)
- 安全信息和事件管理(SIEM)軟件(45%)
- 威脅搜尋(45%)以及其他安全功能。
此外,只有五分之二的分析師將人工智能和機器學習技術與其他安全工具一起使用。
爲了管理SOC,安全團隊需要先進的自動化解決方案來降低警報疲勞並通過專注於更高技能的任務(例如威脅搜尋和網絡調查)來提高成功率:在對最容易自動化的安全工作進行排名時,威脅檢測獲得最高票數(18%分析師的心願單),其次是威脅情報(13%)和事件分類(9%)。
安全運營中心(SOC)的重心曾經是SIEM。但是現在,隨着SOC的任務轉變爲檢測和響應組織,這種情況正在發生變化。
SIEM已經存在了數十年,旨在通過規範多個技術供應商之間的警報來替換手動日誌關聯以識別可疑的網絡活動。SIEM從未設計成可以處理完整的威脅情報管理用例,也不能與諸如端點檢測和響應(EDR),網絡檢測和響應(NDR)以及雲檢測和響應之類的現代安全工具和技術集成並處理大量數據。
新一代的SOC的檢測和響應功能不會孤立在單個工具中,而是會擴展到整個生態系統。所需要的是一個平臺,該平臺可以與多個不同的內部和外部威脅與事件數據源(包括來自SIEM的數據源)集成,並支持與傳感器網格的雙向集成。具有這種功能的平臺是加速安全操作的關鍵,並使現代SOC能夠完成其任務。