图片
在当今的网络环境中,安全运营中心(SOC)面临着前所未有的挑战。随着网络犯罪分子变得更加有组织、设备和数据日益增多、安全工具泛滥、法规要求变得更加苛刻,SOC必须适应新的现实,以确保企业安全。本期【网安必读】将探讨SOC转型过程中遇到的5大挑战,并提出相应的解决方案。
图片
挑战一
工具泛滥带来复杂性和风险
现状分析
大多数SOC会随着安全领导者和优先任务的逐年变换而改变方向。团队通常会采用当下流行的安全方法或解决方案,而不会考虑多年来维护一个又一个软件所涉及的困难。这导致SOC内部充斥着来自不同供应商的单点解决方案,每个解决方案都有独特的数据集、用户界面和代理。这些解决方案不仅耗费时间和资源来维护和监控,还降低了SOC的效率。
解决方案
利用整合的安全堆栈简化SOC。要减少混乱,就必须放下复杂性。确定哪些工具需要淘汰,哪些需要保留,需要一个深思熟虑的系统过程。通过采用将数据源、情报和分析纳入共享系统的工具,可以减少缺口。
▶ 审视您的环境:识别您的 SOC 当前保护的所有资产,从网络到服务器再到端点。其中哪些是高风险,哪些是低风险?这份清单还缺少什么?缺口在哪里?
▶ 整合供应商和工具:您的团队目前使用多少种不同的工具、系统和数据集?有多少被认为是同类最佳,又有哪些已经时过境迁?哪些工具在监控相同的事物?哪些地方可以淘汰整合?
▶ 实施统一的管理方法:虽然“单一窗口界面”已成为行业术语,但这个比喻仍然很有价值。一个能够整合所有数据源、将嵌入式智能应用于这些数据源并提供综合工作流程的凝聚系统可以大大提高SOC 的效率。
挑战二
警报不断产生噪音,但洞察力却微乎其微
现状分析
许多网络犯罪团伙正在效仿高级持续性威胁(APT)的战术,使用多种不同的攻击载体来实现自己的目标。这导致安全团队面临警报负担过重的问题。安全事故持续不停歇,形成近乎不间断的警报。分析师要花费数小时调查警报,确定哪些是可信的,哪些是不可信的。
解决方案
借助人工智能获得清晰理解。减少误报警报的数量应该是改造SOC的重中之重。
▶ 利用剧本自动处理警报:
✔ 使用剧本,利用行为检测和威胁情报快速对警报进行分类。
✔ 通过确定您认为重要的特定属性来自定义这个分类。
✔ 由机器学习驱动的解决方案可以收集、整合和分析数据,从而更快地得出结论,并在无需人工干预的情况下关闭许多警报。
▶ 快速调整警报:通过快速、简单调整警报的解决方案减少误报。有了数量更少、质量更高的警报,分析人员就可以将时间和注意力转向构成实际威胁的警报。
挑战三
安全分析师濒临精疲力竭
现状分析
网络安全专业人员对高水平的SOC至关重要。然而,许多人在工作时感到失望。他们每天都在仔细筛选失真的警报或完成第二天又要重复的例行任务。充斥着人工调查和低风险分流的工作让他们感觉效率低下,就像陷入了永无止境的打地鼠游戏之中。此外,分析人员往往被孤立在自己的领域中,与SOC中的其他人隔绝开来。
解决方案
利用自动化和人工智能赋能的解决方案提升SecOps。要让SOC团队重新充满激情和战略思维,首先要摒弃低价值任务。
▶ 利用人工智能帮助解决威胁和处理事故:采用AI解决方案,自动检测多数据源异常模式,提供情境警报,与人类决策并行。利用数百万次攻击情报,AI赋能SOC团队,增强专业知识,加速调查,减少盲点,实现人机协同的安全优化。
▶ 自动履行关键职能:巧妙利用自动化技术,保护员工免于倦怠,提高员工留任率。自动执行重复性、低级别任务的解决方案不会取代分析人员,但可以让他们专注于接受过培训并真正喜欢做的事情:调查真正的威胁。
▶ 打造分析师满意工作体验:接纳自动化变革,聚焦工具提升工作价值。整合团队,培养共同责任感。推行跨领域培训,涵盖警报分流、响应、威胁搜寻等,促成员像攻击者思考,快速提技,自动化助力成员游刃有余应对新挑战。
挑战四
情境空白造成盲点
现状分析
有限的可视性会减慢决策和威胁应对速度。在传统的SOC中,往往缺乏收集、处理威胁情报数据并将其融入情境的能力。即使攻击面随着更多网络、设备和其他端点的出现而扩大,SOC也无法摄取所有这些来源,也无法扩展容纳大量数据。没有情境的数据点只是数字而已,了解攻击之间的关联对于形成正确的应对至关重要。
解决方案
挖掘数据背后的故事。当数据得到整合并保持同步时,就能还原发生了什么、何时发生以及如何发生,让SOC团队对下一步行动充满信心。
▶ 将数据源整合到一个地方
✔ 通过网络、云、终端设备等收集数据,生成影响业务的所有信息的完整视图。
✔ 实施一个平台,将有关威胁、漏洞和业务情境的数据整合到一个统一的视图中。
▶ 利用智能分析获得情境和洞察力
✔ 使用能拼接出完整时间线的工具,了解威胁是如何移动的、使用了什么战术,以及整体模式、方法和影响。
✔ 利用高级机器学习功能,胜过数据点,讲述万物是如何联系在一起的。
挑战五
遏制威胁耗时过长
现状分析
在分析人员努力调查和关闭警报的同时,真正的威胁往往在数周甚至数月内仍未被发现。当团队检测到漏洞时,要遏制威胁就必须采取协调一致的响应,而采用多个单点解决方案则很难做到这一点。隔绝跨网络、云和端点的接入点可能涉及多个系统和团队成员。复杂性必然意味着需要更多的时间才能完全遏制和消灭对手。
解决方案
通过综合事故响应快速做出反应。从勒索软件到供应链攻击,再到DNS欺骗,事先准备好协调计划有助于SOC快速果断地做出反应。
▶ 了解总体影响:使用先进的人工智能驱动工具来收集和分析有关事故及其影响范围的证据。
▶ 遏制并消灭攻击者:使用集成了补救功能的解决方案,以便集中隔离网络、身份管理和设备。
▶ 全局更新能力:受益于实施全局更新的能力,而不是去每个系统更新策略或执行点。
成功案例
★ 某石油天然气公司利用 Cortex XSIAM 改造其 SOC
“我们曾经有成千上万的垃圾警报。现在我们每周有五个事件确实需要调查。这就是系统运行的好坏。”
—— 石油和天然气公司 IT 安全主管
公司的传统 SIEM 正在产生超负荷的警报,包括源源不断的误报,这给安全团队带来了在多个安全工具之间进行手动调查的压力。
实施 XSIAM 后,公司迅速看到了成效:
● 误报率从大约 90% 降低到接近零
● 需要调查的事故减少 75%
如今,它能够更快地检测、预防和应对潜在威胁,并正在向一流的 SOC 迈进。
★ Boyne Resorts利用Cortex XSIAM提高分析师效率和准备能力
“有了 XSIAM,我们可以提高可视性并加快调查速度。无缝数据摄入和自动化设置改变了游戏规则。”
—— Mike Dembek,Boyne Resorts 网络架构师
Boyne Resorts是一家在美国和加拿大拥有滑雪和高尔夫度假村的公司。该公司希望在不扩大团队的情况下,加强其SOC能力,在分布式环境中获得更多可视性。通过实施Palo Alto Networks的Cortex XSIAM,Boyne Resorts迅速看到了成效。
● 误报率显著降低:误报率从大约90%降低到接近零。
● 事故调查减少:需要调查的事故减少了75%。
● 提高可视性和调查速度:无缝数据摄入和自动化设置改变了游戏规则,使公司能够更快地检测、预防和应对潜在威胁。
Palo Alto Networks(派拓网络)的Cortex XSIAM提供了一个高度整合的平台,将多种安全功能整合在一起,并通过智能自动化支持直观的用户体验。这为SOC团队提供了卓越和简化的调查功能,使其能够更快、更有效地识别和修复威胁。借助Cortex XSIAM,企业可以迈向更精简、更强大的SOC,获得更多的可视性和洞察力,以应对现代威胁。