时间:2024-08-01 作者:奇安信集团
近日,网络安全研究机构SANS发布了《2024年SOC调查报告》,该报告指出了企业组织SOC(安全运营中心)面临的前几大障碍,分别是缺乏自动化和编排、高人员配备需求、缺乏熟练员工、缺乏企业级的可见性等。
该报告通过对来自科技、政府、网络安全和教育等行业的403名安全分析师、SOC分析师进行调查,以帮助SOC用户切实提升自身的运营水平。
缺乏自动化和编排,成为SOC面临最大障碍
针对组织SOC目前面临的最大障碍是什么的问题,调查发现,18.3%受访者选择了“缺乏自动化和编排”;紧随其后的两个答案是直接相关的——“高人员配备需求”(14.4%)和“缺乏熟练员工”(14.2%)。第四个常见的问题是“缺乏企业级的可见性”,占比12.9%。
此外,其他挑战还包括安全、应急响应和运营人员间的孤岛思维、缺乏管理层支持、太多工具未能实现集成、缺乏上下文关联、警报疲劳、缺乏操作流程和指南以及合规要求等。
报告认为,高人员配备和人手不足是紧密相连的。人员岗位职责要求高比人手不足更可怕,因为高要求意味着人手更难以补足。另一方面,岗位要求高也说明安全运营的难度大,复杂性高。这就进一步推动了“安全自动化”需求的增长。由此可见,随着技术的不断发展,以及威胁格局的持续演进,自动化成为组织的迫切需求。与此同时,与人才相关的问题仍在持续困扰各个组织。
如何为SOC现状破局?
根据百科定义,自动化(Automation)是指机器设备、系统或过程(生产、管理过程)在没有人或较少人的直接参与下,按照人的要求,经过自动检测、信息处理、分析判断、操纵控制,实现预期的目标的过程。
可以看出,自动化是一个技术概念,它既可以成为攻击工具,也可以成为防守工具。尤其在近几年的实战攻防演习中,由于攻击队掌握了如Burpsuite、Metasploit等自动化渗透工具,可进行资产指纹收集、漏洞自动检测、利用以及获取权限等功能。同时攻击队还精心设计了专门接口,以加快攻击过程,实现了工具集成化、平台化,形成完整的自动化攻击链。这样就可以在攻击频度上实现了快速连续,在手段上形成组合拳,最终构成饱和式攻击,堪称无数挺“重机枪”同时开火,其火力密集可想而知。
反观传统的安全防御模式,由于缺少平台化、集成化防御工具,导致安全运营严重依赖手工分析和处置,缺少可编排自动化处置能力,最终速度慢、效率低,在攻防对抗中往往疲于奔命、顾此失彼,导致安全运营人员压力激增,甚至陷入
如何破解这种情况,解决组织SOC“缺乏自动化和编排”的普遍难题,奇安信安全专家提出的方案是:以SOAR安全编排自动化与响应系统为基础,通过和奇安信NGSOC(态势感知与安全运营平台)相结合,进行装备升级,实现安全能力集成化、平台化、自动化处置,构建真正的智慧型“安全能力中台”。
该方案的核心,是将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起,有序处理多源数据,持续进行安全告警分诊与调查、案例处置、协同作战、事件响应,并最终实现高效安全运营。
奇安信SOAR提效可达1000倍以上
奇安信SOAR作为一款国内技术先进、功能完备、面向实战化安全运营的安全编排自动化与响应系统,能够帮助企业和组织将繁杂的安全运营(尤其是安全响应)过程梳理为任务和剧本,将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将团队、工具和流程高度协同起来。
首先,奇安信SOAR具备灵活高效的剧本编排,并具有丰富的剧本场景库。其次,它还具备强大的设备对接能力,目前已内置140+种设备的对接和联动,并可灵活扩展。针对重保场景的协同作战,SOAR可以通过系统内置重保模块,支持IP批量封禁和白名单功能。此外,SOAR还实现了运行状态的密切监测,保障自身安全。
事件驱动下的自动响应,是SOAR在网络安全运营最典型的场景之一。该场景核心是通过告警识别—>策略选择—>协同处置,依托SOAR的自动化优势,使其效率大幅度提升。以重保时的一键封禁IP为例,如果是少量IP,原有人工处置方式需要20分钟起,使用SOAR的处置方式,封禁加上人工确认时间,大约3分钟,SOAR的效率提升超过7倍。如果需要封禁大量IP,可以通过SOAR实现自动持续进行封禁,人工批量确认,SOAR的效率提升可达1000倍以上。
结束语:
《2024年SOC调查报告》指出,多年来,SOC分析师很容易出现严重的、令人心力交瘁的倦怠,这是因为无休止的手动警报流程、严重的警报疲劳以及大量消耗精力和动力的误报。而随着组织对一级诊断和分析的自动化程度不断提高,使SOC分析师能够专注于更具战略性和智力刺激的活动,如威胁狩猎和高级事件响应,这缓解了分析师的职业倦怠问题。
作为连续两年被Gartner列入具有代表性的SOAR供应商之一,奇安信SOAR可以帮助客户全方位提升实战化、体系化、常态化安全运营水平,并帮助客户解决安全运营响应人员不足、安全事件响应不及时、运营维护工作重复、安全设备之间缺乏协同且联动性差等问题,助力广大政企机构筑牢数字化转型中的安全底座。
95015服务热线
微信公众号