面对将近五成的误报率,安全分析师正处在焦虑和失眠的煎熬中,只有自动化才是“安眠药”。
IDC的最新报告调查了350位内部人士、MSSP安全分析师和管理人员,结果显示,由于广泛的“警报疲劳”导致警报被忽略,以及担心漏报(遗漏安全事件),安全分析师的压力不断增加,而生产力则在下降。
FireEye客户成功副总裁Chris Triolo说:“来自不同解决方案的大量误报警报使安全分析师不知所措,同时越来越担心它们可能会错过真正的威胁。”
“为解决这些挑战,分析人员要求使用先进的自动化工具,例如扩展检测和响应,以帮助减轻对遗漏事件的担忧,同时增强其SOC的网络安全能力。”
高误报率加剧警报疲劳
高达45%的安全警报误报,而35%的响应人员在队列拥挤时选择忽略警报!(下图)
误报会造成“警报疲劳”:尽管分析师和IT安全经理每天都会收到成千上万的警报,但受访者表示,其中45%的警报都是误报,导致内部分析师的工作效率降低,工作流程流程变慢。为了管理SOC中的警报过载,该组中35%的人表示他们选择忽略警报。
MSSP安全托管服务服务商花费了更多的时间来筛选误报,但忽略的警报更多:MSSP分析师表示,他们收到的警报中有53%是误报。同时,托管服务提供商的分析人员中有44%表示,当队列太满时,他们会忽略警报,这可能会导致涉及多个客户的违规行为。
大多数安全分析人员和管理人员担心会漏报事件(FOMI)
随着分析师在手动管理警报方面面临更多挑战,他们对漏报事件的担忧也越来越多:四分之三的分析师担心漏报事件,四分之一的分析师“非常”担心漏报事件。
但是,FOMI给安全经理造成的痛苦甚至超过了分析师:6%以上的安全经理表示,由于担心遗漏事件而导致失眠。
分析师需要自动化的SOC解决方案来对抗FOMI
目前,只有不到一半的企业安全团队使用工具自动化SOC活动,具体统计结果如下:
此外,只有五分之二的分析师将人工智能和机器学习技术与其他安全工具一起使用。
为了管理SOC,安全团队需要先进的自动化解决方案来降低警报疲劳并通过专注于更高技能的任务(例如威胁搜寻和网络调查)来提高成功率:在对最容易自动化的安全工作进行排名时,威胁检测获得最高票数(18%分析师的心愿单),其次是威胁情报(13%)和事件分类(9%)。
SOC自动化的重心不应该是SIEM
安全运营中心(SOC)的重心曾经是SIEM。但是现在,随着SOC的任务转变为检测和响应组织,这种情况正在发生变化。
SIEM已经存在了数十年,旨在通过规范多个技术供应商之间的警报来替换手动日志关联以识别可疑的网络活动。SIEM从未设计成可以处理完整的威胁情报管理用例,也不能与诸如端点检测和响应(EDR),网络检测和响应(NDR)以及云检测和响应之类的现代安全工具和技术集成并处理大量数据。
新一代的SOC的检测和响应功能不会孤立在单个工具中,而是会扩展到整个生态系统。所需要的是一个平台,该平台可以与多个不同的内部和外部威胁与事件数据源(包括来自SIEM的数据源)集成,并支持与传感器网格的双向集成。具有这种功能的平台是加速安全操作的关键,并使现代SOC能够完成其任务。