《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 業(yè)界動(dòng)態(tài) > 誤報(bào)接近半數(shù),自動(dòng)化才是安全團(tuán)隊(duì)的“安眠藥”

誤報(bào)接近半數(shù),,自動(dòng)化才是安全團(tuán)隊(duì)的“安眠藥”

2021-02-23
來(lái)源:安全牛
關(guān)鍵詞: 自動(dòng)化 安全

微信圖片_20210223112115.jpg

  面對(duì)將近五成的誤報(bào)率,,安全分析師正處在焦慮和失眠的煎熬中,只有自動(dòng)化才是“安眠藥”,。

  IDC的最新報(bào)告調(diào)查了350位內(nèi)部人士,、MSSP安全分析師和管理人員,結(jié)果顯示,,由于廣泛的“警報(bào)疲勞”導(dǎo)致警報(bào)被忽略,,以及擔(dān)心漏報(bào)(遺漏安全事件),安全分析師的壓力不斷增加,,而生產(chǎn)力則在下降,。

  FireEye客戶成功副總裁Chris Triolo說(shuō):“來(lái)自不同解決方案的大量誤報(bào)警報(bào)使安全分析師不知所措,同時(shí)越來(lái)越擔(dān)心它們可能會(huì)錯(cuò)過(guò)真正的威脅,?!?/p>

  “為解決這些挑戰(zhàn),分析人員要求使用先進(jìn)的自動(dòng)化工具,,例如擴(kuò)展檢測(cè)和響應(yīng),,以幫助減輕對(duì)遺漏事件的擔(dān)憂,同時(shí)增強(qiáng)其SOC的網(wǎng)絡(luò)安全能力,?!?/p>

  高誤報(bào)率加劇警報(bào)疲勞

  高達(dá)45%的安全警報(bào)誤報(bào),而35%的響應(yīng)人員在隊(duì)列擁擠時(shí)選擇忽略警報(bào)?。ㄏ聢D)

  微信圖片_20210223112138.jpg

  誤報(bào)會(huì)造成“警報(bào)疲勞”:盡管分析師和IT安全經(jīng)理每天都會(huì)收到成千上萬(wàn)的警報(bào),,但受訪者表示,,其中45%的警報(bào)都是誤報(bào),導(dǎo)致內(nèi)部分析師的工作效率降低,,工作流程流程變慢,。為了管理SOC中的警報(bào)過(guò)載,該組中35%的人表示他們選擇忽略警報(bào),。

  MSSP安全托管服務(wù)服務(wù)商花費(fèi)了更多的時(shí)間來(lái)篩選誤報(bào),,但忽略的警報(bào)更多:MSSP分析師表示,他們收到的警報(bào)中有53%是誤報(bào),。同時(shí),,托管服務(wù)提供商的分析人員中有44%表示,當(dāng)隊(duì)列太滿時(shí),,他們會(huì)忽略警報(bào),,這可能會(huì)導(dǎo)致涉及多個(gè)客戶的違規(guī)行為。

  大多數(shù)安全分析人員和管理人員擔(dān)心會(huì)漏報(bào)事件(FOMI)

  隨著分析師在手動(dòng)管理警報(bào)方面面臨更多挑戰(zhàn),,他們對(duì)漏報(bào)事件的擔(dān)憂也越來(lái)越多:四分之三的分析師擔(dān)心漏報(bào)事件,,四分之一的分析師“非常”擔(dān)心漏報(bào)事件,。

  但是,,F(xiàn)OMI給安全經(jīng)理造成的痛苦甚至超過(guò)了分析師:6%以上的安全經(jīng)理表示,由于擔(dān)心遺漏事件而導(dǎo)致失眠,。

  分析師需要自動(dòng)化的SOC解決方案來(lái)對(duì)抗FOMI

  目前,,只有不到一半的企業(yè)安全團(tuán)隊(duì)使用工具自動(dòng)化SOC活動(dòng),具體統(tǒng)計(jì)結(jié)果如下:

  人工智能和機(jī)器學(xué)習(xí)技術(shù)(43%)

  安全流程自動(dòng)化和響應(yīng)(SOAR)工具(46%)

  安全信息和事件管理(SIEM)軟件(45%)

  威脅搜尋(45%)以及其他安全功能,。

  此外,,只有五分之二的分析師將人工智能和機(jī)器學(xué)習(xí)技術(shù)與其他安全工具一起使用。

  為了管理SOC,,安全團(tuán)隊(duì)需要先進(jìn)的自動(dòng)化解決方案來(lái)降低警報(bào)疲勞并通過(guò)專注于更高技能的任務(wù)(例如威脅搜尋和網(wǎng)絡(luò)調(diào)查)來(lái)提高成功率:在對(duì)最容易自動(dòng)化的安全工作進(jìn)行排名時(shí),,威脅檢測(cè)獲得最高票數(shù)(18%分析師的心愿單),其次是威脅情報(bào)(13%)和事件分類(9%),。

  SOC自動(dòng)化的重心不應(yīng)該是SIEM

  安全運(yùn)營(yíng)中心(SOC)的重心曾經(jīng)是SIEM,。但是現(xiàn)在,隨著SOC的任務(wù)轉(zhuǎn)變?yōu)闄z測(cè)和響應(yīng)組織,,這種情況正在發(fā)生變化,。

  SIEM已經(jīng)存在了數(shù)十年,旨在通過(guò)規(guī)范多個(gè)技術(shù)供應(yīng)商之間的警報(bào)來(lái)替換手動(dòng)日志關(guān)聯(lián)以識(shí)別可疑的網(wǎng)絡(luò)活動(dòng),。SIEM從未設(shè)計(jì)成可以處理完整的威脅情報(bào)管理用例,,也不能與諸如端點(diǎn)檢測(cè)和響應(yīng)(EDR),網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)以及云檢測(cè)和響應(yīng)之類的現(xiàn)代安全工具和技術(shù)集成并處理大量數(shù)據(jù)。

  新一代的SOC的檢測(cè)和響應(yīng)功能不會(huì)孤立在單個(gè)工具中,,而是會(huì)擴(kuò)展到整個(gè)生態(tài)系統(tǒng),。所需要的是一個(gè)平臺(tái),該平臺(tái)可以與多個(gè)不同的內(nèi)部和外部威脅與事件數(shù)據(jù)源(包括來(lái)自SIEM的數(shù)據(jù)源)集成,,并支持與傳感器網(wǎng)格的雙向集成,。具有這種功能的平臺(tái)是加速安全操作的關(guān)鍵,并使現(xiàn)代SOC能夠完成其任務(wù),。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]