2021年的到来,我们已经习惯了新的工作方式和新的工作环境。许多人也可能在家工作,使用数字通信方法进行项目协作和讨论。我们的雇主已经开发出灵活的方法来为员工配备合适的工具以有效和灵活地工作,而远程工作长期以来一直是业务预算和员工雇用决策的一个因素。这种转变不太可能改变。我们可能会在2021年回到办公室,但不会是标准的5天工作周。报告显示,许多组织正在计划采用混合方法,为员工提供更多选择。远程工作在这里是永恒的,有了它,安全和保障有了更大的意义。这一变化的一个影响是安全运营中心(SOC)处理的警报的可见性和数量。此前,该团队与本地数据中心合作,这意味着威胁的藏身之处有限。现在有了远程办公,不受管理的个人设备——包括家庭物联网和家用电脑——有成千上万的选择可以隐藏起来。以前在企业网络上可见的威胁已经变得不可见,隐藏在家庭网络中,等待发动攻击。自动化有助于解决警报过载和疲劳问题任何现代SOC都应该关注自动化、人工智能和机器学习。假设网络犯罪分子已经在使用这些技术在这个广阔的新表面上发起有效的攻击。在这种情况下,安全分析师也应该利用这些相同的技术来帮助保护他们的组织并确保数据和用户的安全。安全分析师每天都会收到数以千计的警报,现在有这么多远程工作者,这些警报可能来自数千个地点。许多都是良性的,但团队必须保持完整的可见性,以免错过严重的威胁。这项工作是重复性的,可能导致分析师疲劳或错误。以下是自动化如何提供帮助。对警报进行分析和标记。如果数据是“好”或“坏”,现有规则会应用自动操作来允许或拒绝信息。对于任何其他警报,数据被标记为“未知”并报告给分析师以供进一步分析,这意味着团队现在正在处理更多有效警报和更少的误报。当警报被标记为不良时,必须快速激活并应用多项操作。这些操作可能包括删除电子邮件中的附件、隔离设备,甚至关闭部分网络以进行补救。安全自动化规则可用于执行这些操作,可以完全自动执行,也可以由分析师单击按钮执行。因此,这里有几个示例,说明自动化如何帮助现代SOC及早检测和修复威胁,以及减少安全团队的工作量。但是,人工智能和机器学习呢?直到最近,这些都是流行语,但如果在上下文中得到适当应用,这些技术将成为分析的关键推动因素,有助于提高团队效率并使网络安全快速、一致和准确。使用AI将数据转化为情报AI将处理数百万威胁数据的输出与现有的上下文信息相结合,包括网络信息、入口向量、使用的协议,甚至是云分析,以了解威胁是新的还是以前在其他环境中看到的。此数据为安全工程师提供了宝贵的上下文信息,而以前需要手动工作和时间才能提取这些信息。由于AI比人类更快地发现网络变化、收集相关数据并向团队提供主动警报,因此检测时间得以缩短。响应时间得到改善,因为工程师不必从深入分析发生的事情开始。他们立即处理可操作的数据,并使用该数据制定补救计划。通过机器学习了解网络可提高团队效率将机器学习(ML)与人工智能结合使用意味着可以训练工具更好地处理数据,并且ML系统将能够提出改进建议。ML可以评估在网络上看到的行为,发现可能超出正常模式的行为,并在问题成为威胁之前向团队发出建议并发现问题,其中可能包括异常的网络端口使用、DNS操纵或潜在的流量风暴。这不仅提高了安全团队的效率,而且ML将利用数据逐步增加智能,成为一种更有效的技术,使其成为网络安全的双赢!
