压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

越來越多的企業(yè)邁向云端，SOC團(tuán)隊(duì)幫助企業(yè)抵御威脅的壓力也與日俱增。他們是抵御數(shù)據(jù)泄露和網(wǎng)絡(luò)威脅的第一道防線，而此類泄露和威脅正變得越來越頻繁和復(fù)雜。增加安全工具投入會導(dǎo)致安全數(shù)據(jù)和警報數(shù)量空前增長，即使SOC盡其所能從無意義的內(nèi)容中識別出有意義的部分，過多的安全數(shù)據(jù)和警報仍常常成為企業(yè)安全架構(gòu)的瓶頸。

本文要探討的方面包括：

• 威脅檢測的現(xiàn)實(shí)，如Dimensional Research最近發(fā)布的報告所示；
• 自動化的情況；
• 更好地應(yīng)對當(dāng)今SOC挑戰(zhàn)的替代方案。

威脅檢測的現(xiàn)實(shí)

如今，為了改善威脅檢測，公司企業(yè)采用了多種檢測工具和大量情報源。但這一策略真的有效嗎？很遺憾，大多數(shù)情況下，效果差強(qiáng)人意。多數(shù)公司企業(yè)最終只會陷入根本無力處理的大堆任務(wù)當(dāng)中，無謂地放大了風(fēng)險。

為了更好地了解大公司中IT安全專業(yè)人員當(dāng)前的體驗(yàn)和態(tài)度，Sumo Logic聘請Dimensional Research對全球427名安全利益相關(guān)者進(jìn)行了調(diào)查，這些利益相關(guān)者均出自員工規(guī)模千人以上，且公有云投資龐大的大型公司企業(yè)。一些調(diào)查結(jié)果令人驚訝，而另一些則在意料之中。主要發(fā)現(xiàn)如下：

a. 公司企業(yè)面對大量警報

受訪公司中多達(dá)70％報告稱，過去五年來，每天收到的安全警報數(shù)量至少增加了一倍。約1/4的安全運(yùn)營（SecOps）團(tuán)隊(duì)（24％）見證了警報數(shù)量增長10倍有余！這意味著公司企業(yè)確實(shí)被警報淹沒，檢測真實(shí)威脅比以往任何時候都更具挑戰(zhàn)性。也意味著在眾多噪聲中忽略有效警告信號的風(fēng)險更高。

圖1：安全警報數(shù)量在過去五年中的變化

至于安全警報數(shù)量增長的原因，57％的安全專家將之歸咎于構(gòu)建和交付的業(yè)務(wù)應(yīng)用和服務(wù)的數(shù)量增加。由于擴(kuò)大了攻擊界面，這進(jìn)一步惡化了安全警報數(shù)量增長問題。云基礎(chǔ)設(shè)施使用的增加也是警報增長的原因之一。全世界的SOC團(tuán)隊(duì)估計(jì)都發(fā)現(xiàn)了這一因果關(guān)系，正在努力遏制這種惡性循環(huán)。

一些額外的數(shù)據(jù)：

• 67％的受訪者表示，最大的問題是新威脅和不斷進(jìn)化的威脅；
• 60％的受訪者認(rèn)為，這是部署新的安全監(jiān)視和控制工具的結(jié)果，而這些工具估計(jì)就是公司企業(yè)用來抵御新威脅和不斷進(jìn)化的威脅的。

圖2：警報數(shù)量增長背后的驅(qū)動力

大量警報有什么問題？看到這份調(diào)查報告之前確實(shí)沒想到……

b. 警報過多會給下游造成復(fù)雜問題

與警報越多可見性越廣的普遍認(rèn)知相反，大多數(shù)企業(yè)報告稱，大量警報只會造成問題而不是帶來好處。99％的受訪安全團(tuán)隊(duì)看到了接收大量安全警報的多個問題，包括：

• 漏掉隱藏在噪聲中的重大問題；
• 浪費(fèi)時間追逐誤報；
• 花太多時間分類警報。

圖3：大量安全警報可引發(fā)的問題

此外，93％的安全團(tuán)隊(duì)無法在一天內(nèi)處理所有安全警報，可能就是警報太多所造成的。31％的安全專家表示，自己每天能處理的警報也就一半左右。不幸的是，網(wǎng)絡(luò)空間關(guān)系重大，即使只是一個未解決的警報，也可能帶來嚴(yán)重而不可逆的破壞。那這些SOC在上周、昨天或明天所無法處理的大量警報，又會引發(fā)什么問題呢？

圖4：安全團(tuán)隊(duì)每天處理的安全警報占比

這份研究報告真正令人驚訝的地方，在于受訪者對于需要增加多少安全分析師來幫助處理安全警報問題的回答。75％的企業(yè)表示，他們需至少增加三名安全專家來調(diào)查其所有安全警報。

之所以大開眼界，是因?yàn)榇蠖鄶?shù)公司企業(yè)竟然無力負(fù)擔(dān)，或難以找到合適的人才，而持續(xù)存在的網(wǎng)絡(luò)安全人才和資源短缺，又是另一方面的原因了。面對日益嚴(yán)重的警報問題，招聘根本不是正確的解決方案。

圖5：需要再招聘多少分析師

c. “警報疲勞”是需要應(yīng)對的另一個問題。

受訪公司中，83％表示其安全團(tuán)隊(duì)正在應(yīng)對“警報疲勞”，因?yàn)槊刻於加写罅烤瘓笥咳隨OC，導(dǎo)致安全分析師無法解決所有這些警報。值得注意的是，這不僅僅是個安全問題，還是人力資源問題。86%的受訪公司憂慮安全人員的健康問題，包括倦怠、壓力大，或者懷疑團(tuán)隊(duì)成員存在跳槽/辭職風(fēng)險。員工消失不見時，誰來處理洶涌襲來的警報？尤其是在找到經(jīng)驗(yàn)豐富的安全人才都還是問題的時候。再次強(qiáng)調(diào)：企業(yè)安全運(yùn)營團(tuán)隊(duì)無法通過招聘來解決這個問題。

自動化形勢

面臨諸多挑戰(zhàn)的情況下，SOC幾乎不可能實(shí)現(xiàn)有效事件響應(yīng)。想要顯露出真正的高優(yōu)先級威脅并立即加以響應(yīng)，就需要采用新的安全運(yùn)營工作流方式。

有哪些選擇呢？自動化就是其中之一。通常由三級或四級安全分析師執(zhí)行的威脅檢測和分析工作，是SOC團(tuán)隊(duì)最難處理，也最耗時的工作。自動化警報分類和威脅分析，有助于實(shí)現(xiàn)更高質(zhì)量的下游響應(yīng)和加快響應(yīng)速度。

很多安全專業(yè)人士確實(shí)在SOC自動化中看到了希望。不久前的推特調(diào)查顯示，SOC團(tuán)隊(duì)認(rèn)為，自動化SOC分析可提升工作效率，隨之而來的無限擴(kuò)展性和增強(qiáng)的可見性也令人興奮不已。這表明，很多安全人員認(rèn)為，使用創(chuàng)新技術(shù)應(yīng)對這些日常挑戰(zhàn)大有可為。

圖6：SOC分析自動化調(diào)查

同時，大多數(shù)安全團(tuán)隊(duì)正在推進(jìn)安全警報處理工作流的自動化工作。我們不妨來看看《2020安全運(yùn)營與自動化狀態(tài)》報告的統(tǒng)計(jì)數(shù)據(jù)：

• 僅3%的受訪企業(yè)完全自動化了警報處理工作流；
• 27%的受訪者認(rèn)為自家工作流高度自動化；
• 但65%只是部分自動化；
• 5%的受訪者承認(rèn)尚未開始自動化。

下圖進(jìn)一步說明了各企業(yè)在這方面數(shù)據(jù)上的差異。自動化炒作明顯存在，但中小企業(yè)和大型企業(yè)的自動化實(shí)現(xiàn)程度不同。相關(guān)成本可能是原因之一。也可以認(rèn)為是企業(yè)越大，SOC團(tuán)隊(duì)就越大，因而更有資源上馬安全自動化項(xiàng)目。

圖7：安全警報處理工作流自動化程度

SaaS SIEM是最好的替代方案，但需要其他功能輔助

為什么選基于SaaS的SIEM，而不是傳統(tǒng)現(xiàn)場SIEM或云SIEM？這份報告為安全人員提供了分享現(xiàn)有SIEM工具使用難題的機(jī)會。事實(shí)上，88%的受訪者稱自己難以充分利用SIEM。除了抱怨自家SIEM吐出太多警報，40%的受訪者認(rèn)為SIEM工具的操作太過復(fù)雜，37%覺得SIEM無法為分析師調(diào)查威脅提供足夠的上下文。而且，這些SIEM無法同時兼顧企業(yè)現(xiàn)場環(huán)境和云環(huán)境。傳統(tǒng)SIEM解決方案的用戶還苦于高昂的開銷和可擴(kuò)展性的缺乏。

正如下圖中擁有SaaS SIEM的受訪者所言，最好的選擇是采用SaaS SIEM。之所以推送SaaS SIEM，是因?yàn)檫@些解決方案提供可擴(kuò)展性，減少（或消除）維護(hù)與管理費(fèi)用，還更容易與現(xiàn)有環(huán)境集成。

圖8：為什么選擇SaaS SIEM

不僅SaaS SIEM擁有者已甚為滿意，本研究中幾乎每位安全專業(yè)人員 （99%）都表示自己會受益于創(chuàng)新SIEM功能，可以借助這些功能更好地管理安全警報和解決合規(guī)風(fēng)險。最受追捧的功能是附可行性見解的自動化警報分類。超過一半（51%）的受訪者想利用此類單一解決方案，希望能跨整個現(xiàn)場和多云基礎(chǔ)設(shè)施監(jiān)控和關(guān)聯(lián)威脅。他們還想要更多現(xiàn)成的內(nèi)容（49%），包括預(yù)構(gòu)建的控制面板和規(guī)則，方便更快地啟動和運(yùn)行，以及衡量SIEM投資的價值。

圖9：公司企業(yè)想利用哪些功能

結(jié)論是什么？你要找尋的是現(xiàn)代SaaS SIEM，這種SaaS SIEM不僅能提供盡可能多的上述功能，還能拿出實(shí)時安全洞察和持續(xù)的威脅情報，滿足公司SOC的分析和自動化需求。

《2020安全運(yùn)營與自動化狀態(tài)》報告圍繞安全運(yùn)營團(tuán)隊(duì)和安全利益相關(guān)者展開，本文摘錄了報告的幾個關(guān)鍵數(shù)據(jù)點(diǎn)。你也可以免費(fèi)下載此報告，查閱與自身日常安全運(yùn)營任務(wù)相關(guān)的所有其他細(xì)節(jié)。

準(zhǔn)備好使用現(xiàn)代SaaS SIEM了嗎？Sumo Logic的Cloud SIEM Enterprise解決方案了解一下？這個解決方案囊括了上述全部所需功能。

《2020安全運(yùn)營與自動化狀態(tài)》報告：

https://www.sumologic.com/brief/state-of-secops/

Sumo Logic Cloud SIEM Enterprise 解決方案：

https://www.sumologic.com/solutions/cloud-siem-enterprise/

來源：數(shù)世咨詢