Les analystes de sécurité du SOC souhaitent une détection automatisée des menaces afin de ne pas avoir à se soucier des incidents manquants. L'enquête "Voice of the Analysts" montre une volonté de maîtriser la fatigue croissante des alarmes causée par un flot de faux positifs.
FireEye, Inc., la société de sécurité basée sur le renseignement, présente le briefing IDC, "La voix des analystes : améliorer les processus du centre des opérations de sécurité grâce à des technologies adaptées" (ci-joint). L'enquête sous-jacente menée auprès de 350 analystes de la sécurité interne et fournisseurs de services de sécurité gérés (MSSP) a révélé qu'ils deviennent de plus en plus improductifs. Cela est dû à une « fatigue des alertes » généralisée qui entraîne des alertes ignorées, un stress accru et la crainte de manquer des incidents de sécurité. Pour augmenter la satisfaction au travail et l'efficacité de leur Security Operations Center (SOC), les analystes interrogés aimeraient automatiser diverses activités.
Les analystes de sécurité du SOC inondés d'informations
"Les analystes en sécurité sont submergés par un déluge de faux positifs provenant de solutions disparates et craignent de plus en plus de passer à côté d'une menace réelle", a déclaré Chris Triolo, vice-président du succès client chez FireEye. "Pour relever ce défi, les analystes ont besoin d'outils d'automatisation avancés tels que Extended Detection and Response (XDR) qui réduisent le risque d'incidents manquants et renforcent ainsi le SOC."
L'augmentation du nombre d'alertes augmente la pression sur les analystes de la sécurité, les obligeant à passer près de la moitié de leur temps sur les faux positifs.
- Les fausses alarmes entraînent la « fatigue des alarmes » : les analystes et les responsables de la sécurité informatique reçoivent des milliers de rapports chaque jour, dont 45 % sont des faux positifs, selon les personnes interrogées. Cela réduit l'efficacité des analystes internes et ralentit les flux de travail. 35 % des personnes interrogées ont déclaré ignorer les alarmes afin de pouvoir faire face au flot de messages dans le SOC.
- Les MSSP passent encore plus de temps à trier les faux positifs et ignorent encore plus d'alertes : les analystes du MSSP ont signalé que 53 % des alertes qu'ils reçoivent sont des faux positifs. Pendant ce temps, 44 % des analystes des fournisseurs de services gérés ont déclaré qu'ils ignoraient les alertes lorsque leur file d'attente se remplissait, ce qui pouvait entraîner une faille de sécurité pour plusieurs clients.
La peur des incidents manquants (FOMI) affecte la majorité des analystes et des responsables de la sécurité.
- Comme les analystes trouvent qu'il est plus difficile de gérer manuellement les alertes, il en va de même pour leur inquiétude de manquer un incident : trois analystes sur quatre s'inquiètent des incidents manquants et un analyste sur quatre est « très » inquiet des incidents manquants .
- Ce FOMI tourmente encore plus les responsables de la sécurité que leurs analystes : plus de 6 % des responsables de la sécurité ont déclaré qu'ils dormaient mal par peur de manquer des incidents.
Les analystes ont besoin de solutions SOC automatisées pour contrer le FOMI.
- Moins de la moitié des équipes de sécurité d'entreprise utilisent actuellement des outils pour automatiser les activités du SOC : l'étude révèle les outils préférés des analystes de sécurité pour examiner les alertes. Il montre que moins de la moitié de l'intelligence artificielle et de l'apprentissage automatique (43 %), des outils d'automatisation et de réponse à l'orchestration de la sécurité (SOAR) (46 %), des logiciels de gestion des informations et des événements de sécurité (SIEM) (45 %), de la chasse aux menaces (45 %) et d'autres fonctions de sécurité. De plus, seuls deux analystes sur cinq utilisent l'intelligence artificielle et l'apprentissage automatique en conjonction avec d'autres outils.
- Les solutions automatisées avancées réduisent la fatigue des équipes de sécurité et améliorent le succès du SOC en permettant aux analystes de se concentrer sur des tâches plus exigeantes telles que la chasse aux menaces et les cyber-enquêtes : les analystes souhaitent le plus l'automatisation de la détection des menaces (18 %), suivie par le renseignement sur les menaces (13 %) et triage des incidents (9 %).
Méthodologie de la newsletter IDC
IDC a interrogé 300 responsables de la sécurité informatique et analystes de sécurité américains travaillant dans des SOC de divers secteurs, notamment la finance, la santé et le gouvernement, ainsi que 50 fournisseurs de services de sécurité gérés, sur les défis auxquels ils sont confrontés dans la gestion de leurs SOC. L'enquête a été réalisée à l'automne 2020. Cette newsletter IDC était auparavant parrainée par Respond Software, qui fait maintenant partie de FireEye.
En savoir plus sur FireEye.com
À propos de Trellix Trellix est une entreprise mondiale qui redéfinit l'avenir de la cybersécurité. La plate-forme ouverte et native Extended Detection and Response (XDR) de la société aide les organisations confrontées aux menaces les plus avancées d'aujourd'hui à avoir l'assurance que leurs opérations sont protégées et résilientes. Les experts en sécurité de Trellix, ainsi qu'un vaste écosystème de partenaires, accélèrent l'innovation technologique grâce à l'apprentissage automatique et à l'automatisation pour soutenir plus de 40.000 XNUMX clients commerciaux et gouvernementaux.