面對將近五成的誤報率,安全分析師正處在焦慮和失眠的煎熬中,只有自動化才是「安眠藥」。
idc的最新報告調查了350位內部人士、mssp安全分析師和管理人員,結果顯示,由於廣泛的「警報疲勞」導致警報被忽略,以及擔心漏報(遺漏安全事件),安全分析師的壓力不斷增加,而生產力則在下降。
fireeye客戶成功副總裁chris triolo說:「來自不同解決方案的大量誤報警報使安全分析師不知所措,同時越來越擔心它們可能會錯過真正的威脅。」
「為解決這些挑戰,分析人員要求使用先進的自動化工具,例如擴充套件檢測和響應,以幫助減輕對遺漏事件的擔憂,同時增強其soc的網路安全能力。」
高誤報率加劇警報疲勞
高達45%的安全警報誤報,而35%的響應人員在佇列擁擠時選擇忽略警報!(下圖)
誤報會造成「警報疲勞」:儘管分析師和it安全經理每天都會收到成千上萬的警報,但受訪者表示,其中45%的警報都是誤報,導致內部分析師的工作效率降低,工作流程流程變慢。為了管理soc中的警報過載,該組中35%的人表示他們選擇忽略警報。
mssp安全託管服務服務商花費了更多的時間來篩選誤報,但忽略的警報更多:mssp分析師表示,他們收到的警報中有53%是誤報。同時,託管服務提供商的分析人員中有44%表示,當佇列太滿時,他們會忽略警報,這可能會導致涉及多個客戶的違規行為。
大多數安全分析人員和管理人員擔心會漏報事件(fomi)
但是,fomi給安全經理造成的痛苦甚至超過了分析師:6%以上的安全經理表示,由於擔心遺漏事件而導致失眠。
分析師需要自動化的soc解決方案來對抗fomi
目前,只有不到一半的企業安全團隊使用工具自動化soc活動,具體統計結果如下:
此外,只有五分之二的分析師將人工智慧和機器學習技術與其他安全工具一起使用。
為了管理soc,安全團隊需要先進的自動化解決方案來降低警報疲勞並通過專注於更高技能的任務(例如威脅搜尋和網路調查)來提高成功率:在對最容易自動化的安全工作進行排名時,威脅檢測獲得最高票數(18%分析師的心願單),其次是威脅情報(13%)和事件分類(9%)。
soc自動化的重心不應該是siem
安全運營中心(soc)的重心曾經是siem。但是現在,隨著soc的任務轉變為檢測和響應組織,這種情況正在發生變化。
siem已經存在了數十年,旨在通過規範多個技術**商之間的警報來替換手動日誌關聯以識別可疑的網路活動。siem從未設計成可以處理完整的威脅情報管理用例,也不能與諸如端點檢測和響應(edr),網路檢測和響應(ndr)以及雲檢測和響應之類的現代安全工具和技術整合並處理大量資料。
新一代的soc的檢測和響應功能不會孤立在單個工具中,而是會擴充套件到整個生態系統。所需要的是乙個平台,該平台可以與多個不同的內部和外部威脅與事件資料來源(包括來自siem的資料來源)整合,並支援與感測器網格的雙向整合。具有這種功能的平台是加速安全操作的關鍵,並使現代soc能夠完成其任務。
如何才能做好測試自動化
在自動化測試引入和應用中,我們清楚一些基本的原則 選擇好工具,最流行的工具不一定適合自己,真正適合自己的工具才是最好的。如robot不一定是最好的,但它的多機互動協作能力是其它工具沒有的 根據客戶端 web和伺服器的不同特點可選擇不同的測試工具,如web的鏈結 ui變化快和複雜的邏輯,工具的錄製功能...
工作解放的謊言,關於計算機自動化
我當初學計算機,學程式設計的原因很簡單 讓計算機為我工作,讓計算機成為我的僕人,我在的時候,替我幹活,我不在的時候,仍然替我幹活,毫無怨言,無私工作,如此我才能從瑣事中解放出來,又懶又自由。懶人創造世界,自由才活得象人,所以懶人才會真正思考自由的問題,才能看到表象下宣傳的自由,是否名副其實。回到命題...
團隊自動化環境搭建與管理
業務問題 在每次新夥伴加入和每個夥伴們都是自己的系統,會導致四個後果。一,重複配置。二,員工本地php配置環境和虛擬配置機測試環境和線上配置環境不一致,上線後容易出現未知的bug 三,配置檔案不一致,由於線上環境多是nginx配置,而夥伴們大多用apache,導致測試服不得不再重新配置 nginx配...