将近一半的误报被报告,自动化是安全团队的“安眠药”一份调查了350名内部人员、MSSP安全分析师和高管的IDC新报告显示,由于普遍的“警报疲劳”导致警报不断增加,安全分析师承受的压力越来越大被忽视和对误报(遗漏安全事件)的恐惧增加,同时生产力下降。“安全分析师对来自不同解决方案的大量误报警报感到不知所措,同时越来越担心他们可能会错过真正的威胁,”FireEye客户成功副总裁ChrisTriolo说。“为了应对这些挑战,分析师需要使用高级自动化工具,例如扩展检测和响应,以帮助减轻对错过事件的担忧,同时增强其SOC的网络安全能力。”高误报率加剧警报疲劳高达45%的安全警报是误报,相比之下,35%的响应者在队列拥挤时选择忽略警报!(下图)误报造成“警报疲劳”:虽然分析师和IT安全经理每天收到数以千计的警报,但受访者表示其中45%的警报是误报,导致内部分析师工作效率降低和工作流程变慢。为了管理SOC中的警报过载,该组中35%的人表示他们选择忽略警报。MSSP花费更多时间筛选误报,但忽略了更多警报:MSSP分析师表示,他们收到的警报中有53%是误报。与此同时,44%的托管服务提供商分析师表示,当队列太满时,他们会忽略警报,这可能会导致涉及多个客户的违规行为。大多数安全分析师和管理人员都担心遗漏事件(FOMI)随着分析师在手动管理警报方面面临更多挑战,他们也越来越担心遗漏事件:四分之三的分析师担心漏报事件,四分之一的分析师“非常”关注漏报事件。但是FOMI给安全经理带来的痛苦比分析师还要多:超过6%的安全经理报告说因为害怕错过事件而失眠。分析师需要自动化SOC解决方案来对抗FOMI目前,只有不到一半的企业安全团队使用工具来自动化SOC活动。具体统计如下:人工智能和机器学习技术(43%)安全流程自动化和响应(SOAR)工具(46%)安全信息和事件管理(SIEM)软件(45%)威胁狩猎(45%)和其他安全功能。此外,只有五分之二的分析师使用人工智能和机器学习技术以及其他安全工具。为了管理SOC,安全团队需要先进的自动化解决方案来减少警报疲劳并通过专注于更高技能的任务(例如威胁搜寻和网络调查)来提高成功率:在对最容易自动化的安全工作进行排名时,威胁检测获得了最高的选票(18%的分析师愿望清单),其次是威胁情报(13%)和事件分类(9%)。SOC自动化的重心不应该是SIEM过去安全运营中心(SOC)的重心是SIEM。但现在,随着SOC的任务转移到检测和响应组织,这种情况正在发生变化。SIEM已经存在了几十年,旨在通过跨多个技术供应商规范化警报来取代手动日志关联以识别可疑网络活动。SIEM从未设计用于处理完整的威胁情报管理用例,也无法与端点检测和响应(EDR)、网络检测和响应(NDR)以及云检测和响应等现代安全工具和技术集成并处理海量数据。新一代SOC的检测和响应功能不会孤立在单一工具中,而是会扩展到整个生态系统。需要的是一个平台,可以集成多个不同的内部和外部威胁和事件数据源,包括来自SIEM的数据源,并支持与传感器网格的双向集成。具有此功能的平台是加速安全运营和支持现代SOC完成任务的关键。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
