自动化才是安全团队的“安眠药”

警报疲劳”：尽管分析师和IT安全经理每天都会收到成千上万的警报，但受访者表示，其中45%的警报都是误报，导致内部分析师的工作效率降低，工作流程流程变慢。为了管理SOC中的警报过载，该组中35%的人表示他们选择忽略警报。

MSSP安全托管服务服务商花费了更多的时间来筛选误报，但忽略的警报更多：MSSP分析师表示，他们收到的警报中有53%是误报。同时，托管服务提供商的分析人员中有44%表示，当队列太满时，他们会忽略警报，这可能会导致涉及多个客户的违规行为。

大多数安全分析人员和管理人员担心会漏报事件(FOMI)

随着分析师在手动管理警报方面面临更多挑战，他们对漏报事件的担忧也越来越多：四分之三的分析师担心漏报事件，四分之一的分析师“非常”担心漏报事件。

但是，FOMI给安全经理造成的痛苦甚至超过了分析师：6%以上的安全经理表示，由于担心遗漏事件而导致失眠。

分析师需要自动化的SOC解决方案来对抗FOMI

目前，只有不到一半的企业安全团队使用工具自动化SOC活动，具体统计结果如下：

• 人工智能和机器学习技术(43%)
• 安全流程自动化和响应(SOAR)工具(46%)
• 安全信息和事件管理(SIEM)软件(45%)
• 威胁搜寻(45%)以及其他安全功能。

此外，只有五分之二的分析师将人工智能和机器学习技术与其他安全工具一起使用。

为了管理SOC，安全团队需要先进的自动化解决方案来降低警报疲劳并通过专注于更高技能的任务(例如威胁搜寻和网络调查)来提高成功率：在对最容易自动化的安全工作进行排名时，威胁检测获得最高票数(18%分析师的心愿单)，其次是威胁情报(13%)和事件分类(9%)。

SOC自动化的重心不应该是SIEM

安全运营中心(SOC)的重心曾经是SIEM。但是现在，随着SOC的任务转变为检测和响应组织，这种情况正在发生变化。

SIEM已经存在了数十年，旨在通过规范多个技术供应商之间的警报来替换手动日志关联以识别可疑的网络活动。SIEM从未设计成可以处理完整的威胁情报管理用例，也不能与诸如端点检测和响应(EDR)，网络检测和响应(NDR)以及云检测和响应之类的现代安全工具和技术集成并处理大量数据。

新一代的SOC的检测和响应功能不会孤立在单个工具中，而是会扩展到整个生态系统。所需要的是一个平台，该平台可以与多个不同的内部和外部威胁与事件数据源(包括来自SIEM的数据源)集成，并支持与传感器网格的双向集成。具有这种功能的平台是加速安全操作的关键，并使现代SOC能够完成其任务。

（编辑：宿州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!