面对近50%的误报率,安全分析师正遭受焦虑和失眠。只有自动化才是“安眠药”。
IDC调查了350名内部人士的最新报告MSSP结果表明,由于广泛的安全分析师和管理人员,“警报疲劳”安全分析师的压力在增加,生产力在下降,导致警报被忽视,担心漏报(漏报安全事件)。
FireEye客户成功副总裁Chris Triolo说:“大量来自不同解决方案的误报警报让安全分析师不知所措,越来越担心他们会错过真正的威胁。”
“为了解决这些挑战,分析人员需要使用先进的自动化工具,如扩展检测和响应,以帮助减少对遗漏事件的担忧,并增强其SOC *** 安全能力。”
高误报率加剧了警报疲劳
高达45%的安全警报误报,35%的响应者在队列拥挤时选择忽略警报!(下图)
误报会造成“警报疲劳”:尽管分析师和IT安全经理每天都会收到成千上万的警报,但受访者表示,45%的警报是误报,导致内部分析师工作效率下降,工作流程减慢。SOC该组35%的人表示,他们选择忽略警报。
MSSP安全托管服务提供商花更多的时间筛选误报,但忽略了更多的警报:MSSP分析师表示,他们收到的53%的警报是误报。与此同时,托管服务提供商的44%分析人员表示,当队列太满时,他们会忽略警报,这可能导致多个客户的违规行为。
大多数安全分析人员和管理人员担心会错过事件(FOMI)
随着分析师在手动管理报警方面面临的挑战越来越多,他们越来越担心漏报:四分之三的分析师担心漏报,四分之一的分析师“非常”担心漏报。
但是,FOMI给安全经理带来的痛苦甚至超过了分析师:超过6%的安全经理表示,他们担心遗漏会导致失眠。
分析师需要自动化SOC对抗解决方案FOMI
目前,不到一半的企业安全团队使用工具自动化SOC具体统计结果如下:
- 人工智能和机器学习技术(43%)
- 安全流程自动化和响应(SOAR)工具(46%)
- 安全信息和事件管理(SIEM)软件(45%)
- 威胁搜索(45%)等安全功能。
此外,只有五分之二的分析师与其他安全工具一起使用人工智能和机器学习技术。
为了管理SOC,安全团队需要先进的自动化解决方案来减少警报疲劳,通过专注于更高技能的任务(如威胁搜索和 *** 调查)来提高成功率:在排名最容易自动化的安全工作时,威胁检测获得更高票数(18%分析师的愿望表),其次是威胁情报(13%)和事件分类(9%)。
SOC自动化的重心不应该是SIEM
安全运营中心(SOC)重心曾经是SIEM。但现在,随着SOC任务变为检测和响应组织,正在变化。
SIEM它已经存在了几十年,旨在通过规范多个技术供应商之间的报警来替换手动日志关联,以识别可疑的 *** 活动。SIEM它从未被设计成一个完整的威胁情报管理用例,也不能与端点检测和响应相匹配(EDR), *** 检测及响应(NDR)现代安全工具和技术集成并处理大量数据,如云检测和响应。
新一代的SOC检测和响应功能不会孤立于单个工具,而是扩展到整个生态系统。需要的是一个可以与多个不同的内部和外部威胁和事件数据源(包括来自SIEM数据源)集成,支持与传感器网格的双向集成。具有此功能的平台是加速安全操作的关键SOC能够完成其任务。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章