压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

越來越多的企業邁向云端，SOC團隊幫助企業抵御威脅的壓力也與日俱增。他們是抵御數據泄露和網絡威脅的第一道防線，而此類泄露和威脅正變得越來越頻繁和復雜。增加安全工具投入會導致安全數據和警報數量空前增長，即使SOC盡其所能從無意義的內容中識別出有意義的部分，過多的安全數據和警報仍常常成為企業安全架構的瓶頸。

本文要探討的方面包括：

• 威脅檢測的現實，如Dimensional Research最近發布的報告所示；
• 自動化的情況；
• 更好地應對當今SOC挑戰的替代方案。

威脅檢測的現實

如今，為了改善威脅檢測，公司企業采用了多種檢測工具和大量情報源。但這一策略真的有效嗎？很遺憾，大多數情況下，效果差強人意。多數公司企業最終只會陷入根本無力處理的大堆任務當中，無謂地放大了風險。

為了更好地了解大公司中IT安全專業人員當前的體驗和態度，Sumo Logic聘請Dimensional Research對全球427名安全利益相關者進行了調查，這些利益相關者均出自員工規模千人以上，且公有云投資龐大的大型公司企業。一些調查結果令人驚訝，而另一些則在意料之中。主要發現如下：

a. 公司企業面對大量警報

受訪公司中多達70％報告稱，過去五年來，每天收到的安全警報數量至少增加了一倍。約1/4的安全運營（SecOps）團隊（24％）見證了警報數量增長10倍有余！這意味著公司企業確實被警報淹沒，檢測真實威脅比以往任何時候都更具挑戰性。也意味著在眾多噪聲中忽略有效警告信號的風險更高。

圖1：安全警報數量在過去五年中的變化

至于安全警報數量增長的原因，57％的安全專家將之歸咎于構建和交付的業務應用和服務的數量增加。由于擴大了攻擊界面，這進一步惡化了安全警報數量增長問題。云基礎設施使用的增加也是警報增長的原因之一。全世界的SOC團隊估計都發現了這一因果關系，正在努力遏制這種惡性循環。

一些額外的數據：

• 67％的受訪者表示，最大的問題是新威脅和不斷進化的威脅；
• 60％的受訪者認為，這是部署新的安全監視和控制工具的結果，而這些工具估計就是公司企業用來抵御新威脅和不斷進化的威脅的。

圖2：警報數量增長背后的驅動力

大量警報有什么問題？看到這份調查報告之前確實沒想到……

b. 警報過多會給下游造成復雜問題

與警報越多可見性越廣的普遍認知相反，大多數企業報告稱，大量警報只會造成問題而不是帶來好處。99％的受訪安全團隊看到了接收大量安全警報的多個問題，包括：

• 漏掉隱藏在噪聲中的重大問題；
• 浪費時間追逐誤報；
• 花太多時間分類警報。

圖3：大量安全警報可引發的問題

此外，93％的安全團隊無法在一天內處理所有安全警報，可能就是警報太多所造成的。31％的安全專家表示，自己每天能處理的警報也就一半左右。不幸的是，網絡空間關系重大，即使只是一個未解決的警報，也可能帶來嚴重而不可逆的破壞。那這些SOC在上周、昨天或明天所無法處理的大量警報，又會引發什么問題呢？

圖4：安全團隊每天處理的安全警報占比

這份研究報告真正令人驚訝的地方，在于受訪者對于需要增加多少安全分析師來幫助處理安全警報問題的回答。75％的企業表示，他們需至少增加三名安全專家來調查其所有安全警報。

之所以大開眼界，是因為大多數公司企業竟然無力負擔，或難以找到合適的人才，而持續存在的網絡安全人才和資源短缺，又是另一方面的原因了。面對日益嚴重的警報問題，招聘根本不是正確的解決方案。

圖5：需要再招聘多少分析師

c. “警報疲勞”是需要應對的另一個問題。

受訪公司中，83％表示其安全團隊正在應對“警報疲勞”，因為每天都有大量警報涌入SOC，導致安全分析師無法解決所有這些警報。值得注意的是，這不僅僅是個安全問題，還是人力資源問題。86%的受訪公司憂慮安全人員的健康問題，包括倦怠、壓力大，或者懷疑團隊成員存在跳槽/辭職風險。員工消失不見時，誰來處理洶涌襲來的警報？尤其是在找到經驗豐富的安全人才都還是問題的時候。再次強調：企業安全運營團隊無法通過招聘來解決這個問題。

自動化形勢

面臨諸多挑戰的情況下，SOC幾乎不可能實現有效事件響應。想要顯露出真正的高優先級威脅并立即加以響應，就需要采用新的安全運營工作流方式。

有哪些選擇呢？自動化就是其中之一。通常由三級或四級安全分析師執行的威脅檢測和分析工作，是SOC團隊最難處理，也最耗時的工作。自動化警報分類和威脅分析，有助于實現更高質量的下游響應和加快響應速度。

很多安全專業人士確實在SOC自動化中看到了希望。不久前的推特調查顯示，SOC團隊認為，自動化SOC分析可提升工作效率，隨之而來的無限擴展性和增強的可見性也令人興奮不已。這表明，很多安全人員認為，使用創新技術應對這些日常挑戰大有可為。

圖6：SOC分析自動化調查

同時，大多數安全團隊正在推進安全警報處理工作流的自動化工作。我們不妨來看看《2020安全運營與自動化狀態》報告的統計數據：

• 僅3%的受訪企業完全自動化了警報處理工作流；
• 27%的受訪者認為自家工作流高度自動化；
• 但65%只是部分自動化；
• 5%的受訪者承認尚未開始自動化。

下圖進一步說明了各企業在這方面數據上的差異。自動化炒作明顯存在，但中小企業和大型企業的自動化實現程度不同。相關成本可能是原因之一。也可以認為是企業越大，SOC團隊就越大，因而更有資源上馬安全自動化項目。

圖7：安全警報處理工作流自動化程度

SaaS SIEM是最好的替代方案，但需要其他功能輔助

為什么選基于SaaS的SIEM，而不是傳統現場SIEM或云SIEM？這份報告為安全人員提供了分享現有SIEM工具使用難題的機會。事實上，88%的受訪者稱自己難以充分利用SIEM。除了抱怨自家SIEM吐出太多警報，40%的受訪者認為SIEM工具的操作太過復雜，37%覺得SIEM無法為分析師調查威脅提供足夠的上下文。而且，這些SIEM無法同時兼顧企業現場環境和云環境。傳統SIEM解決方案的用戶還苦于高昂的開銷和可擴展性的缺乏。

正如下圖中擁有SaaS SIEM的受訪者所言，最好的選擇是采用SaaS SIEM。之所以推送SaaS SIEM，是因為這些解決方案提供可擴展性，減少（或消除）維護與管理費用，還更容易與現有環境集成。

圖8：為什么選擇SaaS SIEM

不僅SaaS SIEM擁有者已甚為滿意，本研究中幾乎每位安全專業人員 （99%）都表示自己會受益于創新SIEM功能，可以借助這些功能更好地管理安全警報和解決合規風險。最受追捧的功能是附可行性見解的自動化警報分類。超過一半（51%）的受訪者想利用此類單一解決方案，希望能跨整個現場和多云基礎設施監控和關聯威脅。他們還想要更多現成的內容（49%），包括預構建的控制面板和規則，方便更快地啟動和運行，以及衡量SIEM投資的價值。

圖9：公司企業想利用哪些功能

結論是什么？你要找尋的是現代SaaS SIEM，這種SaaS SIEM不僅能提供盡可能多的上述功能，還能拿出實時安全洞察和持續的威脅情報，滿足公司SOC的分析和自動化需求。

《2020安全運營與自動化狀態》報告圍繞安全運營團隊和安全利益相關者展開，本文摘錄了報告的幾個關鍵數據點。你也可以免費下載此報告，查閱與自身日常安全運營任務相關的所有其他細節。

準備好使用現代SaaS SIEM了嗎？Sumo Logic的Cloud SIEM Enterprise解決方案了解一下？這個解決方案囊括了上述全部所需功能。

《2020安全運營與自動化狀態》報告：

https://www.sumologic.com/brief/state-of-secops/

Sumo Logic Cloud SIEM Enterprise 解決方案：

https://www.sumologic.com/solutions/cloud-siem-enterprise/

來源：數世咨詢