Майже три з чотирьох організацій (70 відсотків) намагаються встигати за обсягом сповіщень, які генерують їхні інструменти аналізу безпеки. Відповідно до останнього дослідження ESG «Модернізація SOC і роль XDR», проведеного на замовлення Kaspersky, це призводить до браку ресурсів для виконання ключових стратегічних завдань, що змушує організації звертатися до автоматизації процесів і аутсорсингу.
Крім обсягу попереджень, різноманітність попереджень також створює проблему для більш ніж двох третин (67 відсотків) співробітників центру безпеки (SOC). Обидва фактори ускладнюють концентрацію уваги аналітиків SOC. на більш складних і важливих завданнях зосередьтеся. У кожній третій компанії (34 відсотки) команди з кібербезпеки, перевантажені сповіщеннями та надзвичайними проблемами безпеки, не мають достатньо часу для оптимізації стратегії та процесів.
Нестача кадрів – не проблема
Дослідження також показує, що компанії не пояснюють цю ситуацію браком персоналу. 83 відсотки вважають, що їхній SOC має достатньо персоналу, щоб ефективно захистити компанію їх розміру. Однак вони вважають, що потрібно було б автоматизувати процеси та використовувати зовнішні сервіси. Більше половини респондентів (55 відсотків) назвали головною причиною використання керованих послуг надання своїм співробітникам більше часу, щоб зосередитися на більш стратегічних ініціативах, а не витрачати час на завдання безпеки.
«Замість того, щоб активно шукати розширені загрози та загрози уникнення в інфраструктурі, аналітики SOC наразі можуть реагувати лише на надзвичайні ситуації», — сказала Юлія Андрєєва, старший менеджер із продуктів Kaspersky. «Зменшення кількості сповіщень, автоматизація їх консолідації та кореляції в ланцюжках інцидентів, а також скорочення загального часу реагування повинні бути в центрі уваги організацій для покращення продуктивності їх SOC. Вони можуть досягти цього за допомогою відповідних рішень автоматизації та зовнішніх експертів».
Рекомендації щодо оптимізації діяльності SOC
- Організувати позмінну роботу в СОК, щоб уникнути перевантаження персоналу. Розподіліть основні завдання, такі як моніторинг, розслідування, ІТ-архітектура та розробка, адміністрування та управління SOC серед усіх співробітників.
- Використовуйте комплексну службу аналізу загроз [2], яка дає змогу інтегрувати машинозчитувані дані з існуючими засобами контролю безпеки, такими як система SIEM. Це може автоматизувати початковий процес сортування та створити достатньо контексту, щоб вирішити, чи слід негайно досліджувати сповіщення.
- Щоб звільнити SOC від рутинних завдань сортування попереджень, організації можуть звернутися до перевірених служб керованого виявлення та реагування. Kaspersky Managed Detection and Response [3] поєднує технології виявлення на основі штучного інтелекту з обширним досвідом пошуку загроз і реагування на інциденти від професійних організацій, у тому числі Kaspersky Global Research & Analysis Team (GReAT).
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/