Près de trois organisations sur quatre (70 %) ont du mal à suivre le volume d'alertes générées par leurs outils d'analyse de la sécurité. Cela se traduit par un manque de ressources pour les tâches stratégiques clés, conduisant les organisations à se tourner vers l'automatisation des processus et l'externalisation, comme le montre la récente étude ESG, SOC Modernization and the Role of XDR, commandée par Kaspersky.
En plus du volume d'alertes, cependant, la variété des alertes pose également un défi pour plus des deux tiers (67 %) des personnes employées dans un centre d'opérations de sécurité (SOC). sur des tâches plus complexes et plus importantes. Dans une entreprise sur trois (34 %), les équipes de cybersécurité, submergées par les alertes et les problèmes de sécurité d'urgence, n'ont pas assez de temps pour se concentrer sur la stratégie et l'optimisation des processus.
Le manque de personnel n'est pas le problème
L'étude montre également que les entreprises n'attribuent pas cette situation à un manque de personnel. 83 % pensent que leur SOC dispose de suffisamment de personnel pour protéger efficacement une entreprise de leur taille. Cependant, ils estiment qu'il serait nécessaire d'automatiser les processus et de recourir à des services externes. Plus de la moitié des personnes interrogées (55 %) citent la principale raison de l'utilisation des services gérés comme le fait de donner à leur personnel plus de temps pour se concentrer sur des initiatives plus stratégiques plutôt que de passer du temps sur des tâches d'opérations de sécurité.
"Plutôt que de rechercher de manière proactive les menaces avancées et les menaces évasives dans l'infrastructure, les analystes SOC ne peuvent actuellement répondre qu'aux urgences", a déclaré Yuliya Andreeva, Senior Product Manager chez Kaspersky. « La réduction du nombre d'alertes, l'automatisation de leur consolidation et de leur corrélation dans les chaînes d'incidents, ainsi que la réduction du temps de réponse global doivent être au centre des préoccupations des organisations pour améliorer les performances de leur SOC. Ils peuvent y parvenir grâce à des solutions d'automatisation appropriées et à des experts externes.
Recommandations pour optimiser les opérations SOC
- Organiser les quarts de travail dans le SOC pour éviter la surcharge du personnel. Distribuer les principales tâches telles que la surveillance, l'investigation, l'architecture et l'ingénierie informatique, l'administration et la gestion du SOC à tous les employés.
- Tirez parti d'un service complet de renseignement sur les menaces [2] qui permet l'intégration de renseignements lisibles par machine avec les contrôles de sécurité existants, tels qu'un système SIEM. Cela peut automatiser le processus de triage initial et générer suffisamment de contexte pour décider d'enquêter immédiatement sur une alerte.
- Pour libérer le SOC des tâches routinières de tri des alertes, les organisations peuvent se tourner vers des services de détection et de réponse gérés éprouvés. Kaspersky Managed Detection and Response [3] combine des technologies de détection basées sur l'IA avec une vaste expertise de recherche de menaces et de réponse aux incidents d'unités professionnelles, y compris l'équipe Kaspersky Global Research & Analysis (GReAT).
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/