誤報(bào)接近半數(shù),自動化才是安全團(tuán)隊(duì)的“安眠藥”
責(zé)編:gltian |2021-02-25 16:35:10
面對將近五成的誤報(bào)率,安全分析師正處在焦慮和失眠的煎熬中,只有自動化才是“安眠藥”。
IDC的最新報(bào)告調(diào)查了350位內(nèi)部人士、MSSP安全分析師和管理人員,結(jié)果顯示,由于廣泛的“警報(bào)疲勞”導(dǎo)致警報(bào)被忽略,以及擔(dān)心漏報(bào)(遺漏安全事件),安全分析師的壓力不斷增加,而生產(chǎn)力則在下降。
FireEye客戶成功副總裁Chris Triolo說:“來自不同解決方案的大量誤報(bào)警報(bào)使安全分析師不知所措,同時(shí)越來越擔(dān)心它們可能會錯過真正的威脅。”
“為解決這些挑戰(zhàn),分析人員要求使用先進(jìn)的自動化工具,例如擴(kuò)展檢測和響應(yīng),以幫助減輕對遺漏事件的擔(dān)憂,同時(shí)增強(qiáng)其SOC的網(wǎng)絡(luò)安全能力。”
高誤報(bào)率加劇警報(bào)疲勞
高達(dá)45%的安全警報(bào)誤報(bào),而35%的響應(yīng)人員在隊(duì)列擁擠時(shí)選擇忽略警報(bào)!(下圖)
誤報(bào)會造成“警報(bào)疲勞”:盡管分析師和IT安全經(jīng)理每天都會收到成千上萬的警報(bào),但受訪者表示,其中45%的警報(bào)都是誤報(bào),導(dǎo)致內(nèi)部分析師的工作效率降低,工作流程流程變慢。為了管理SOC中的警報(bào)過載,該組中35%的人表示他們選擇忽略警報(bào)。
MSSP安全托管服務(wù)服務(wù)商花費(fèi)了更多的時(shí)間來篩選誤報(bào),但忽略的警報(bào)更多:MSSP分析師表示,他們收到的警報(bào)中有53%是誤報(bào)。同時(shí),托管服務(wù)提供商的分析人員中有44%表示,當(dāng)隊(duì)列太滿時(shí),他們會忽略警報(bào),這可能會導(dǎo)致涉及多個客戶的違規(guī)行為。
大多數(shù)安全分析人員和管理人員擔(dān)心會漏報(bào)事件(FOMI)
隨著分析師在手動管理警報(bào)方面面臨更多挑戰(zhàn),他們對漏報(bào)事件的擔(dān)憂也越來越多:四分之三的分析師擔(dān)心漏報(bào)事件,四分之一的分析師“非常”擔(dān)心漏報(bào)事件。
但是,F(xiàn)OMI給安全經(jīng)理造成的痛苦甚至超過了分析師:6%以上的安全經(jīng)理表示,由于擔(dān)心遺漏事件而導(dǎo)致失眠。
分析師需要自動化的SOC解決方案來對抗FOMI
目前,只有不到一半的企業(yè)安全團(tuán)隊(duì)使用工具自動化SOC活動,具體統(tǒng)計(jì)結(jié)果如下:
- 人工智能和機(jī)器學(xué)習(xí)技術(shù)(43%)
- 安全流程自動化和響應(yīng)(SOAR)工具(46%)
- 安全信息和事件管理(SIEM)軟件(45%)
- 威脅搜尋(45%)以及其他安全功能。
此外,只有五分之二的分析師將人工智能和機(jī)器學(xué)習(xí)技術(shù)與其他安全工具一起使用。
為了管理SOC,安全團(tuán)隊(duì)需要先進(jìn)的自動化解決方案來降低警報(bào)疲勞并通過專注于更高技能的任務(wù)(例如威脅搜尋和網(wǎng)絡(luò)調(diào)查)來提高成功率:在對最容易自動化的安全工作進(jìn)行排名時(shí),威脅檢測獲得最高票數(shù)(18%分析師的心愿單),其次是威脅情報(bào)(13%)和事件分類(9%)。
SOC自動化的重心不應(yīng)該是SIEM
安全運(yùn)營中心(SOC)的重心曾經(jīng)是SIEM。但是現(xiàn)在,隨著SOC的任務(wù)轉(zhuǎn)變?yōu)闄z測和響應(yīng)組織,這種情況正在發(fā)生變化。
SIEM已經(jīng)存在了數(shù)十年,旨在通過規(guī)范多個技術(shù)供應(yīng)商之間的警報(bào)來替換手動日志關(guān)聯(lián)以識別可疑的網(wǎng)絡(luò)活動。SIEM從未設(shè)計(jì)成可以處理完整的威脅情報(bào)管理用例,也不能與諸如端點(diǎn)檢測和響應(yīng)(EDR),網(wǎng)絡(luò)檢測和響應(yīng)(NDR)以及云檢測和響應(yīng)之類的現(xiàn)代安全工具和技術(shù)集成并處理大量數(shù)據(jù)。
新一代的SOC的檢測和響應(yīng)功能不會孤立在單個工具中,而是會擴(kuò)展到整個生態(tài)系統(tǒng)。所需要的是一個平臺,該平臺可以與多個不同的內(nèi)部和外部威脅與事件數(shù)據(jù)源(包括來自SIEM的數(shù)據(jù)源)集成,并支持與傳感器網(wǎng)格的雙向集成。具有這種功能的平臺是加速安全操作的關(guān)鍵,并使現(xiàn)代SOC能夠完成其任務(wù)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧