信息來源:安全牛
ESG 的最新研究顯示,企業(yè)安全運營和安全分析已經(jīng)陷入泥沼,只有做出重大改變才能脫離困境。為了探究當下企業(yè)安全分析和運營面臨的挑戰(zhàn),ESG 調(diào)查了來自北美各行業(yè)中大型企業(yè)的 406 位 IT 和安全專業(yè)人員,得出以下結(jié)論:
1. 安全分析和運營越來越難
近三分之二 (63%) 的受訪者聲稱,如今的安全分析和運營比兩年前更加困難。外部變化和內(nèi)部挑戰(zhàn)更是讓難度每日劇增。
外圍調(diào)查結(jié)果顯示,41% 的安全專家認為,由于威脅形勢的快速變化,現(xiàn)在安全分析和運營變得更加困難,30% 的專業(yè)人士認為,是攻擊面的不斷增加導致難度持續(xù)上升,安全團隊別無選擇,只能咬牙緊跟外部動態(tài)和趨勢。在企業(yè)內(nèi)部調(diào)查中,35% 的受訪者認為安全性分析和運營比過去變得更加困難,主要因為安全數(shù)據(jù)比兩年前要多得多;34% 的受訪者表示,安全警報的數(shù)量在過去兩年中有所增加,另有 29% 的人抱怨很難跟上安全運營任務的數(shù)量和復雜性。
2. 安全數(shù)據(jù)管理難題:更多數(shù)據(jù),更多問題
與兩年前相比,將近三分之一的企業(yè)和組織 (32%) 為網(wǎng)絡安全分析和運營采集的數(shù)據(jù)大幅度增加,44% 的企業(yè)和組織安全數(shù)據(jù)有小幅增長。而且,與過去相比,有 52% 的組織保留安全 “熱數(shù)據(jù)”的時間更長。大量的實時和歷史安全數(shù)據(jù)形成了體積龐大的數(shù)據(jù)存儲庫,這些數(shù)據(jù)庫既昂貴又難以管理。
安全分析師們經(jīng)常抱怨的問題就是:數(shù)據(jù)太多反而找不到數(shù)據(jù)。
3. 傳統(tǒng)的本地SIEM方案并不完整
高達 70% 的企業(yè)仍然依賴安全信息和事件管理 (SIEM) 系統(tǒng)來進行安全分析和運營。此外,很多企業(yè)的安全運營中心 (SOC) 團隊還圍繞 SIEM 配備了用于威脅檢測/響應、調(diào)查/查詢、威脅情報分析以及流程自動化/編排的其他工具。這就產(chǎn)生了一個問題:如果 SIEM 是安全分析和運營的 “重器”,為什么企業(yè)還要補充那么多其他工具?
研究表明,盡管 SIEM 擅長發(fā)現(xiàn)已知威脅并生成安全與合規(guī)性報告,但它并不適合檢測未知威脅或其他安全運營場景。而且,有 23% 的安全專家表示 SIEM 平臺需要大量的人員培訓和經(jīng)驗,而 21% 的人則認為 SIEM 需要不斷調(diào)優(yōu)并消耗大量運營資源才能發(fā)揮作用??傊?,SIEM 不會很快失寵,但顯然還遠遠不夠。
4. 人才和技能短缺仍然普遍存在
四分之三的受訪者認為,網(wǎng)絡安全技能短缺已經(jīng)影響了組織的安全分析和運營。CISO 不能簡單地通過招兵買馬來擺脫困境嗎?這并非易事:70% 的安全專家表示,招募和雇用 SOC 人員比較困難或者非常困難。很多企業(yè)已經(jīng)開始通過購買可管理安全服務(托管服務)來解決技能差距。今天,有 74% 的組織使用可管理安全服務(用于安全分析和運營),而 90% 的企業(yè)計劃在將來增加對托管安全服務的使用。不久的將來,SOC 將不再是一個人(企業(yè))的戰(zhàn)斗。
5. 安全分析和運營技術正在遷移到公有云
過去,CISO 傾向于對本地安全分析和運營技術進行手動控制,但眼下趨勢已變。研究表明,有 41% 的組織更喜歡基于云的安全分析和運營技術,而另外 17% 的組織愿意試點云安全分析和運營技術。
為什么要遷移到云?最明顯的原因是要規(guī)避內(nèi)部安全分析和安全運營基礎設施的成本和復雜性(即數(shù)據(jù)采集/處理器、負載平衡器、服務器、存儲設備等的部署和運營)。更為重要的一點是,很多企業(yè)的安全運營主管認為,可動態(tài)擴展的云計算和存儲資源可以提供遠高于本地系統(tǒng)的分析能力,基于海量安全數(shù)據(jù)集上的機器學習算法和應用尤其如此。