Аналітики безпеки в SOC хочуть автоматизоване виявлення загроз, щоб їм не довелося турбуватися про втрачені інциденти. Опитування «Голосу Аналітики» демонструє бажання впоратися із зростаючою втомою від сигналізації, спричиненою потоком помилкових спрацьовувань.
FireEye, Inc., компанія безпеки, що базується на розвідці, представляє брифінг IDC «Голос аналітиків: покращення процесів центру безпеки операцій за допомогою адаптованих технологій» (додається). Основне опитування 350 аналітиків внутрішньої безпеки та постачальників послуг керованої безпеки (MSSP) показало, що вони стають дедалі непродуктивнішими. Це пов’язано з широко поширеною «втомою від сповіщень», яка призводить до ігнорування сповіщень, підвищеного стресу та занепокоєння щодо пропуску інцидентів безпеки. Щоб підвищити задоволеність роботою та ефективність свого центру безпеки (SOC), опитані аналітики хотіли б автоматизувати різні дії.
Аналітики безпеки в SOC завалені інформацією
«Аналітики безпеки приголомшені потоком хибних спрацьовувань від різнорідних рішень і все більше стурбовані тим, що вони пропускають реальну загрозу», — сказав Кріс Тріоло, віце-президент відділу успіху клієнтів FireEye. «Щоб вирішити цю проблему, аналітикам потрібні передові інструменти автоматизації, такі як розширене виявлення та реагування (XDR), які зменшують занепокоєння щодо пропуску інцидентів і тим самим зміцнюють SOC».
Збільшення сповіщень посилює тиск на аналітиків безпеки, змушуючи їх витрачати майже половину свого часу на помилкові спрацьовування.
- Помилкові тривоги призводять до «втоми від тривог»: аналітики та менеджери з ІТ-безпеки щодня отримують тисячі звітів, 45 відсотків із яких є помилковими, за словами респондентів. Це знижує ефективність внутрішніх аналітиків і сповільнює робочі процеси. 35 відсотків опитаних заявили, що ігнорують тривоги, щоб мати змогу впоратися з потоком повідомлень у SOC.
- MSSP витрачають ще більше часу на сортування хибних спрацьовувань і ігнорують ще більше попереджень: аналітики MSSP повідомили, що 53 відсотки попереджень, які вони отримують, є хибними спрацьовуваннями. Тим часом 44 відсотки аналітиків постачальників керованих послуг заявили, що вони ігнорують сповіщення, коли їхня черга заповнюється, що може призвести до порушення безпеки для багатьох клієнтів.
Страх пропущених інцидентів (FOMI) впливає на більшість аналітиків безпеки та менеджерів.
- Оскільки аналітикам стає важче вручну керувати сповіщеннями, зростає й їхнє занепокоєння щодо пропуску інциденту: троє з чотирьох аналітиків турбуються про відсутні інциденти, а кожен четвертий аналітик «дуже» стурбований пропуском інцидентів.
- Цей FOMI турбує менеджерів із безпеки навіть більше, ніж їхніх аналітиків: понад 6 відсотків менеджерів із безпеки сказали, що вони погано сплять через страх пропустити інциденти.
Аналітикам потрібні автоматизовані рішення SOC для протидії FOMI.
- Менше половини команд безпеки підприємства наразі використовують інструменти для автоматизації діяльності SOC: дослідження показує, що аналітики безпеки вважають за краще інструменти для перегляду сповіщень. Це показує, що менше половини штучного інтелекту та машинного навчання (43 відсотки), інструменти автоматизації оркестровки безпеки та реагування (SOAR) (46 відсотків), програмне забезпечення для управління інформацією та подіями (SIEM) (45 відсотків), пошук загроз (45 відсотків) та інші функції безпеки. Крім того, лише двоє з п’яти аналітиків використовують штучний інтелект і машинне навчання в поєднанні з іншими інструментами.
- Удосконалені автоматизовані рішення зменшують втому команд безпеки від сповіщень і покращують успіх SOC, дозволяючи аналітикам зосередитися на складніших завданнях, таких як полювання на загрози та кіберрозслідування: аналітики найбільше хочуть автоматизації виявлення загроз (18 відсотків), а потім розвідки про загрози (13 відсотків) і сортування інцидентів (9 відсотків).
Методологія інформаційного бюлетеня IDC
IDC опитала 300 американських менеджерів з ІТ-безпеки та аналітиків безпеки, які працюють у SOC у різних галузях, включаючи фінанси, охорону здоров’я та уряд, а також 50 постачальників керованих послуг безпеки, щоб дізнатися, з якими проблемами вони стикаються під час керування своїми SOC. Опитування проводилося восени 2020 року. Цей інформаційний бюлетень IDC раніше спонсорував Respond Software, яка тепер є частиною FireEye.
Дізнайтеся більше на FireEye.com
Про Trellix Trellix — це глобальна компанія, яка переосмислює майбутнє кібербезпеки. Відкрита та рідна платформа компанії Extended Detection and Response (XDR) допомагає організаціям, які стикаються з найсучаснішими загрозами сучасності, отримати впевненість у тому, що їхні операції захищені та стійкі. Експерти з безпеки Trellix разом із розгалуженою партнерською екосистемою прискорюють технологічні інновації за допомогою машинного навчання та автоматизації для підтримки понад 40.000 XNUMX бізнес- та державних клієнтів.