亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

越來越多的企業(yè)邁向云端，SOC團(tuán)隊(duì)幫助企業(yè)抵御威脅的壓力也與日俱增。他們是抵御數(shù)據(jù)泄露和網(wǎng)絡(luò)威脅的第一道防線，而此類泄露和威脅正變得越來越頻繁和復(fù)雜。增加安全工具投入會(huì)導(dǎo)致安全數(shù)據(jù)和警報(bào)數(shù)量空前增長，即使SOC盡其所能從無意義的內(nèi)容中識(shí)別出有意義的部分，過多的安全數(shù)據(jù)和警報(bào)仍常常成為企業(yè)安全架構(gòu)的瓶頸。

本文要探討的方面包括：

• 威脅檢測(cè)的現(xiàn)實(shí)，如Dimensional Research最近發(fā)布的報(bào)告所示；
• 自動(dòng)化的情況；
• 更好地應(yīng)對(duì)當(dāng)今SOC挑戰(zhàn)的替代方案。

威脅檢測(cè)的現(xiàn)實(shí)

如今，為了改善威脅檢測(cè)，公司企業(yè)采用了多種檢測(cè)工具和大量情報(bào)源。但這一策略真的有效嗎？很遺憾，大多數(shù)情況下，效果差強(qiáng)人意。多數(shù)公司企業(yè)最終只會(huì)陷入根本無力處理的大堆任務(wù)當(dāng)中，無謂地放大了風(fēng)險(xiǎn)。

為了更好地了解大公司中IT安全專業(yè)人員當(dāng)前的體驗(yàn)和態(tài)度，Sumo Logic聘請(qǐng)Dimensional Research對(duì)全球427名安全利益相關(guān)者進(jìn)行了調(diào)查，這些利益相關(guān)者均出自員工規(guī)模千人以上，且公有云投資龐大的大型公司企業(yè)。一些調(diào)查結(jié)果令人驚訝，而另一些則在意料之中。主要發(fā)現(xiàn)如下：

a. 公司企業(yè)面對(duì)大量警報(bào)

受訪公司中多達(dá)70％報(bào)告稱，過去五年來，每天收到的安全警報(bào)數(shù)量至少增加了一倍。約1/4的安全運(yùn)營（SecOps）團(tuán)隊(duì)（24％）見證了警報(bào)數(shù)量增長10倍有余！這意味著公司企業(yè)確實(shí)被警報(bào)淹沒，檢測(cè)真實(shí)威脅比以往任何時(shí)候都更具挑戰(zhàn)性。也意味著在眾多噪聲中忽略有效警告信號(hào)的風(fēng)險(xiǎn)更高。

圖1：安全警報(bào)數(shù)量在過去五年中的變化

至于安全警報(bào)數(shù)量增長的原因，57％的安全專家將之歸咎于構(gòu)建和交付的業(yè)務(wù)應(yīng)用和服務(wù)的數(shù)量增加。由于擴(kuò)大了攻擊界面，這進(jìn)一步惡化了安全警報(bào)數(shù)量增長問題。云基礎(chǔ)設(shè)施使用的增加也是警報(bào)增長的原因之一。全世界的SOC團(tuán)隊(duì)估計(jì)都發(fā)現(xiàn)了這一因果關(guān)系，正在努力遏制這種惡性循環(huán)。

一些額外的數(shù)據(jù)：

• 67％的受訪者表示，最大的問題是新威脅和不斷進(jìn)化的威脅；
• 60％的受訪者認(rèn)為，這是部署新的安全監(jiān)視和控制工具的結(jié)果，而這些工具估計(jì)就是公司企業(yè)用來抵御新威脅和不斷進(jìn)化的威脅的。

圖2：警報(bào)數(shù)量增長背后的驅(qū)動(dòng)力

大量警報(bào)有什么問題？看到這份調(diào)查報(bào)告之前確實(shí)沒想到……

b. 警報(bào)過多會(huì)給下游造成復(fù)雜問題

與警報(bào)越多可見性越廣的普遍認(rèn)知相反，大多數(shù)企業(yè)報(bào)告稱，大量警報(bào)只會(huì)造成問題而不是帶來好處。99％的受訪安全團(tuán)隊(duì)看到了接收大量安全警報(bào)的多個(gè)問題，包括：

• 漏掉隱藏在噪聲中的重大問題；
• 浪費(fèi)時(shí)間追逐誤報(bào)；
• 花太多時(shí)間分類警報(bào)。

圖3：大量安全警報(bào)可引發(fā)的問題

此外，93％的安全團(tuán)隊(duì)無法在一天內(nèi)處理所有安全警報(bào)，可能就是警報(bào)太多所造成的。31％的安全專家表示，自己每天能處理的警報(bào)也就一半左右。不幸的是，網(wǎng)絡(luò)空間關(guān)系重大，即使只是一個(gè)未解決的警報(bào)，也可能帶來嚴(yán)重而不可逆的破壞。那這些SOC在上周、昨天或明天所無法處理的大量警報(bào)，又會(huì)引發(fā)什么問題呢？

圖4：安全團(tuán)隊(duì)每天處理的安全警報(bào)占比

這份研究報(bào)告真正令人驚訝的地方，在于受訪者對(duì)于需要增加多少安全分析師來幫助處理安全警報(bào)問題的回答。75％的企業(yè)表示，他們需至少增加三名安全專家來調(diào)查其所有安全警報(bào)。

之所以大開眼界，是因?yàn)榇蠖鄶?shù)公司企業(yè)竟然無力負(fù)擔(dān)，或難以找到合適的人才，而持續(xù)存在的網(wǎng)絡(luò)安全人才和資源短缺，又是另一方面的原因了。面對(duì)日益嚴(yán)重的警報(bào)問題，招聘根本不是正確的解決方案。

圖5：需要再招聘多少分析師

c. “警報(bào)疲勞”是需要應(yīng)對(duì)的另一個(gè)問題。

受訪公司中，83％表示其安全團(tuán)隊(duì)正在應(yīng)對(duì)“警報(bào)疲勞”，因?yàn)槊刻於加写罅烤瘓?bào)涌入SOC，導(dǎo)致安全分析師無法解決所有這些警報(bào)。值得注意的是，這不僅僅是個(gè)安全問題，還是人力資源問題。86%的受訪公司憂慮安全人員的健康問題，包括倦怠、壓力大，或者懷疑團(tuán)隊(duì)成員存在跳槽/辭職風(fēng)險(xiǎn)。員工消失不見時(shí)，誰來處理洶涌襲來的警報(bào)？尤其是在找到經(jīng)驗(yàn)豐富的安全人才都還是問題的時(shí)候。再次強(qiáng)調(diào)：企業(yè)安全運(yùn)營團(tuán)隊(duì)無法通過招聘來解決這個(gè)問題。

自動(dòng)化形勢(shì)

面臨諸多挑戰(zhàn)的情況下，SOC幾乎不可能實(shí)現(xiàn)有效事件響應(yīng)。想要顯露出真正的高優(yōu)先級(jí)威脅并立即加以響應(yīng)，就需要采用新的安全運(yùn)營工作流方式。

有哪些選擇呢？自動(dòng)化就是其中之一。通常由三級(jí)或四級(jí)安全分析師執(zhí)行的威脅檢測(cè)和分析工作，是SOC團(tuán)隊(duì)最難處理，也最耗時(shí)的工作。自動(dòng)化警報(bào)分類和威脅分析，有助于實(shí)現(xiàn)更高質(zhì)量的下游響應(yīng)和加快響應(yīng)速度。

很多安全專業(yè)人士確實(shí)在SOC自動(dòng)化中看到了希望。不久前的推特調(diào)查顯示，SOC團(tuán)隊(duì)認(rèn)為，自動(dòng)化SOC分析可提升工作效率，隨之而來的無限擴(kuò)展性和增強(qiáng)的可見性也令人興奮不已。這表明，很多安全人員認(rèn)為，使用創(chuàng)新技術(shù)應(yīng)對(duì)這些日常挑戰(zhàn)大有可為。

圖6：SOC分析自動(dòng)化調(diào)查

同時(shí)，大多數(shù)安全團(tuán)隊(duì)正在推進(jìn)安全警報(bào)處理工作流的自動(dòng)化工作。我們不妨來看看《2020安全運(yùn)營與自動(dòng)化狀態(tài)》報(bào)告的統(tǒng)計(jì)數(shù)據(jù)：

• 僅3%的受訪企業(yè)完全自動(dòng)化了警報(bào)處理工作流；
• 27%的受訪者認(rèn)為自家工作流高度自動(dòng)化；
• 但65%只是部分自動(dòng)化；
• 5%的受訪者承認(rèn)尚未開始自動(dòng)化。

下圖進(jìn)一步說明了各企業(yè)在這方面數(shù)據(jù)上的差異。自動(dòng)化炒作明顯存在，但中小企業(yè)和大型企業(yè)的自動(dòng)化實(shí)現(xiàn)程度不同。相關(guān)成本可能是原因之一。也可以認(rèn)為是企業(yè)越大，SOC團(tuán)隊(duì)就越大，因而更有資源上馬安全自動(dòng)化項(xiàng)目。

圖7：安全警報(bào)處理工作流自動(dòng)化程度

SaaS SIEM是最好的替代方案，但需要其他功能輔助

為什么選基于SaaS的SIEM，而不是傳統(tǒng)現(xiàn)場(chǎng)SIEM或云SIEM？這份報(bào)告為安全人員提供了分享現(xiàn)有SIEM工具使用難題的機(jī)會(huì)。事實(shí)上，88%的受訪者稱自己難以充分利用SIEM。除了抱怨自家SIEM吐出太多警報(bào)，40%的受訪者認(rèn)為SIEM工具的操作太過復(fù)雜，37%覺得SIEM無法為分析師調(diào)查威脅提供足夠的上下文。而且，這些SIEM無法同時(shí)兼顧企業(yè)現(xiàn)場(chǎng)環(huán)境和云環(huán)境。傳統(tǒng)SIEM解決方案的用戶還苦于高昂的開銷和可擴(kuò)展性的缺乏。

正如下圖中擁有SaaS SIEM的受訪者所言，最好的選擇是采用SaaS SIEM。之所以推送SaaS SIEM，是因?yàn)檫@些解決方案提供可擴(kuò)展性，減少（或消除）維護(hù)與管理費(fèi)用，還更容易與現(xiàn)有環(huán)境集成。

圖8：為什么選擇SaaS SIEM

不僅SaaS SIEM擁有者已甚為滿意，本研究中幾乎每位安全專業(yè)人員 （99%）都表示自己會(huì)受益于創(chuàng)新SIEM功能，可以借助這些功能更好地管理安全警報(bào)和解決合規(guī)風(fēng)險(xiǎn)。最受追捧的功能是附可行性見解的自動(dòng)化警報(bào)分類。超過一半（51%）的受訪者想利用此類單一解決方案，希望能跨整個(gè)現(xiàn)場(chǎng)和多云基礎(chǔ)設(shè)施監(jiān)控和關(guān)聯(lián)威脅。他們還想要更多現(xiàn)成的內(nèi)容（49%），包括預(yù)構(gòu)建的控制面板和規(guī)則，方便更快地啟動(dòng)和運(yùn)行，以及衡量SIEM投資的價(jià)值。

圖9：公司企業(yè)想利用哪些功能

結(jié)論是什么？你要找尋的是現(xiàn)代SaaS SIEM，這種SaaS SIEM不僅能提供盡可能多的上述功能，還能拿出實(shí)時(shí)安全洞察和持續(xù)的威脅情報(bào)，滿足公司SOC的分析和自動(dòng)化需求。

《2020安全運(yùn)營與自動(dòng)化狀態(tài)》報(bào)告圍繞安全運(yùn)營團(tuán)隊(duì)和安全利益相關(guān)者展開，本文摘錄了報(bào)告的幾個(gè)關(guān)鍵數(shù)據(jù)點(diǎn)。你也可以免費(fèi)下載此報(bào)告，查閱與自身日常安全運(yùn)營任務(wù)相關(guān)的所有其他細(xì)節(jié)。

準(zhǔn)備好使用現(xiàn)代SaaS SIEM了嗎？Sumo Logic的Cloud SIEM Enterprise解決方案了解一下？這個(gè)解決方案囊括了上述全部所需功能。

《2020安全運(yùn)營與自動(dòng)化狀態(tài)》報(bào)告：

https://www.sumologic.com/brief/state-of-secops/

Sumo Logic Cloud SIEM Enterprise 解決方案：

https://www.sumologic.com/solutions/cloud-siem-enterprise/

來源：數(shù)世咨詢