SOC のセキュリティ アナリストは、インシデントの見逃しを心配する必要がないように、自動化された脅威検出を望んでいます。 「アナリストの声」調査では、大量の誤検知によって引き起こされる警戒疲れの増大に対処したいという願望が示されています。
インテリジェンスベースのセキュリティ企業である FireEye, Inc. は、IDC のブリーフィング「The Voice of the Analyst: Improving Security Operations Center Processes Through Adapted Technologies (アナリストの声: 適応テクノロジーによるセキュリティ オペレーション センター プロセスの改善)」を紹介します (添付)。 350 人の社内セキュリティ アナリストとマネージド セキュリティ サービス プロバイダー (MSSP) を対象とした基礎調査により、彼らの生産性がますます低下していることが明らかになりました。 これは、アラートの無視、ストレスの増大、セキュリティ インシデントを見逃してしまうのではないかという不安につながる「アラート疲れ」が蔓延していることが原因です。 仕事の満足度とセキュリティ オペレーション センター (SOC) の有効性を高めるために、調査対象のアナリストはさまざまなアクティビティを自動化したいと考えています。
SOC のセキュリティ アナリストに情報が殺到
FireEyeのカスタマーサクセス担当バイスプレジデント、クリス・トリオーロ氏は、「セキュリティアナリストは、異種ソリューションによる大量の誤検知に圧倒されており、本当の脅威を見逃しているのではないかとの懸念を強めている」と述べた。 「この課題に対処するために、アナリストは、インシデントの見逃しの心配を軽減し、それによって SOC を強化する拡張検出および対応 (XDR) のような高度な自動化ツールを必要としています。」
アラートの増加によりセキュリティ アナリストへのプレッシャーが増大し、アナリストは誤検知に半分近くの時間を費やしています。
- 誤報は「警報疲労」を引き起こす: アナリストや IT セキュリティ管理者は毎日何千件ものレポートを受け取り、そのうち 45% は誤検知であると回答者は述べています。 これにより、内部アナリストの効率が低下し、ワークフローが遅くなります。 調査対象者の 35% は、SOC 内の大量のメッセージに対処するためにアラームを無視していると述べています。
- MSSP は、誤検知のトリアージにさらに多くの時間を費やし、さらに多くのアラートを無視します。MSSP アナリストは、受信するアラートの 53% が誤検知であると報告しています。 一方、マネージド サービス プロバイダーのアナリストの 44% は、キューがいっぱいになったときにアラートを無視しており、複数の顧客のセキュリティ侵害につながる可能性があると述べています。
インシデント紛失の恐怖 (FOMI) は、セキュリティ アナリストとマネージャーの大部分に影響を与えています。
- アナリストがアラートを手動で管理することがより困難になるにつれて、インシデントの見逃しに対する懸念も高まります。アナリストの XNUMX 人に XNUMX 人はインシデントの見逃しを心配し、アナリストの XNUMX 人に XNUMX 人はインシデントの見逃しを「非常に」心配しています。
- この FOMI は、アナリスト以上にセキュリティ管理者を悩ませています。セキュリティ管理者の 6% 以上が、インシデントを見逃すことを恐れて睡眠不足であると回答しました。
アナリストは FOMI に対抗するために自動化された SOC ソリューションを必要としています。
- 現在、SOC のアクティビティを自動化するツールを使用している企業のセキュリティ チームは半数未満です。この調査では、セキュリティ アナリストがアラートを確認するために推奨しているツールが明らかになりました。 それによると、人工知能と機械学習 (43 パーセント)、セキュリティ オーケストレーションの自動化と対応 (SOAR) ツール (46 パーセント)、セキュリティ情報およびイベント管理 (SIEM) ソフトウェア (45 パーセント)、脅威ハンティング (45 パーセント) は半分未満でした。およびその他のセキュリティ機能。 さらに、人工知能や機械学習を他のツールと組み合わせて使用しているアナリストは XNUMX 人中 XNUMX 人だけです。
- 高度な自動化ソリューションは、アナリストが脅威ハンティングやサイバー調査などのより要求の厳しいタスクに集中できるようにすることで、セキュリティ チームのアラート疲労を軽減し、SOC の成功を向上させます。アナリストは脅威検出の自動化を最も望んでおり (18 パーセント)、次いで脅威インテリジェンス (13 パーセント)、インシデントのトリアージ (9%)。
IDC ニュースレターの方法論
IDC は、金融、ヘルスケア、政府などの業界の SOC で働く米国の IT セキュリティ マネージャーとセキュリティ アナリスト 300 名、およびマネージド セキュリティ サービス プロバイダー 50 名を対象に、SOC 管理で経験している課題について調査しました。 調査は2020年秋に実施されました。 この IDC ニュースレターは、以前は Respond Software によって後援されていましたが、現在は FireEye の一部です。
詳しくは FireEye.com をご覧ください
トレリックスについて Trellix は、サイバーセキュリティの未来を再定義するグローバル企業です。 同社のオープンでネイティブな XDR (Extended Detection and Response) プラットフォームは、今日の最も高度な脅威に直面している組織が、運用が保護され回復力があるという確信を得るのに役立ちます。 Trellix のセキュリティ専門家は、広範なパートナー エコシステムとともに、機械学習と自動化を通じて技術革新を加速し、40.000 を超える企業および政府の顧客をサポートしています。