信息來源:安全牛
ESG 的最新研究顯示����,企業(yè)安全運(yùn)營(yíng)和安全分析已經(jīng)陷入泥沼���,只有做出重大改變才能脫離困境��。為了探究當(dāng)下企業(yè)安全分析和運(yùn)營(yíng)面臨的挑戰(zhàn)���,ESG 調(diào)查了來自北美各行業(yè)中大型企業(yè)的 406 位 IT 和安全專業(yè)人員,得出以下結(jié)論:
1. 安全分析和運(yùn)營(yíng)越來越難
近三分之二 (63%) 的受訪者聲稱����,如今的安全分析和運(yùn)營(yíng)比兩年前更加困難。外部變化和內(nèi)部挑戰(zhàn)更是讓難度每日劇增�����。
外圍調(diào)查結(jié)果顯示�����,41% 的安全專家認(rèn)為����,由于威脅形勢(shì)的快速變化,現(xiàn)在安全分析和運(yùn)營(yíng)變得更加困難���,30% 的專業(yè)人士認(rèn)為�,是攻擊面的不斷增加導(dǎo)致難度持續(xù)上升,安全團(tuán)隊(duì)別無選擇����,只能咬牙緊跟外部動(dòng)態(tài)和趨勢(shì)。在企業(yè)內(nèi)部調(diào)查中�����,35% 的受訪者認(rèn)為安全性分析和運(yùn)營(yíng)比過去變得更加困難���,主要因?yàn)榘踩珨?shù)據(jù)比兩年前要多得多�����;34% 的受訪者表示�����,安全警報(bào)的數(shù)量在過去兩年中有所增加����,另有 29% 的人抱怨很難跟上安全運(yùn)營(yíng)任務(wù)的數(shù)量和復(fù)雜性����。
2. 安全數(shù)據(jù)管理難題:更多數(shù)據(jù),更多問題
與兩年前相比����,將近三分之一的企業(yè)和組織 (32%) 為網(wǎng)絡(luò)安全分析和運(yùn)營(yíng)采集的數(shù)據(jù)大幅度增加,44% 的企業(yè)和組織安全數(shù)據(jù)有小幅增長(zhǎng)�����。而且�,與過去相比,有 52% 的組織保留安全 “熱數(shù)據(jù)”的時(shí)間更長(zhǎng)���。大量的實(shí)時(shí)和歷史安全數(shù)據(jù)形成了體積龐大的數(shù)據(jù)存儲(chǔ)庫(kù)���,這些數(shù)據(jù)庫(kù)既昂貴又難以管理。
安全分析師們經(jīng)常抱怨的問題就是:數(shù)據(jù)太多反而找不到數(shù)據(jù)�。
3. 傳統(tǒng)的本地SIEM方案并不完整
高達(dá) 70% 的企業(yè)仍然依賴安全信息和事件管理 (SIEM) 系統(tǒng)來進(jìn)行安全分析和運(yùn)營(yíng)。此外���,很多企業(yè)的安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)還圍繞 SIEM 配備了用于威脅檢測(cè)/響應(yīng)��、調(diào)查/查詢�、威脅情報(bào)分析以及流程自動(dòng)化/編排的其他工具。這就產(chǎn)生了一個(gè)問題:如果 SIEM 是安全分析和運(yùn)營(yíng)的 “重器”����,為什么企業(yè)還要補(bǔ)充那么多其他工具?
研究表明�����,盡管 SIEM 擅長(zhǎng)發(fā)現(xiàn)已知威脅并生成安全與合規(guī)性報(bào)告�,但它并不適合檢測(cè)未知威脅或其他安全運(yùn)營(yíng)場(chǎng)景。而且�,有 23% 的安全專家表示 SIEM 平臺(tái)需要大量的人員培訓(xùn)和經(jīng)驗(yàn),而 21% 的人則認(rèn)為 SIEM 需要不斷調(diào)優(yōu)并消耗大量運(yùn)營(yíng)資源才能發(fā)揮作用��?����?傊?���,SIEM 不會(huì)很快失寵,但顯然還遠(yuǎn)遠(yuǎn)不夠�。
4. 人才和技能短缺仍然普遍存在
四分之三的受訪者認(rèn)為,網(wǎng)絡(luò)安全技能短缺已經(jīng)影響了組織的安全分析和運(yùn)營(yíng)。CISO 不能簡(jiǎn)單地通過招兵買馬來擺脫困境嗎�����?這并非易事:70% 的安全專家表示�����,招募和雇用 SOC 人員比較困難或者非常困難����。很多企業(yè)已經(jīng)開始通過購(gòu)買可管理安全服務(wù)(托管服務(wù))來解決技能差距����。今天,有 74% 的組織使用可管理安全服務(wù)(用于安全分析和運(yùn)營(yíng))�����,而 90% 的企業(yè)計(jì)劃在將來增加對(duì)托管安全服務(wù)的使用�。不久的將來,SOC 將不再是一個(gè)人(企業(yè))的戰(zhàn)斗�����。
5. 安全分析和運(yùn)營(yíng)技術(shù)正在遷移到公有云
過去,CISO 傾向于對(duì)本地安全分析和運(yùn)營(yíng)技術(shù)進(jìn)行手動(dòng)控制�����,但眼下趨勢(shì)已變��。研究表明�,有 41% 的組織更喜歡基于云的安全分析和運(yùn)營(yíng)技術(shù),而另外 17% 的組織愿意試點(diǎn)云安全分析和運(yùn)營(yíng)技術(shù)�。
為什么要遷移到云?最明顯的原因是要規(guī)避內(nèi)部安全分析和安全運(yùn)營(yíng)基礎(chǔ)設(shè)施的成本和復(fù)雜性(即數(shù)據(jù)采集/處理器�����、負(fù)載平衡器����、服務(wù)器、存儲(chǔ)設(shè)備等的部署和運(yùn)營(yíng))���。更為重要的一點(diǎn)是��,很多企業(yè)的安全運(yùn)營(yíng)主管認(rèn)為���,可動(dòng)態(tài)擴(kuò)展的云計(jì)算和存儲(chǔ)資源可以提供遠(yuǎn)高于本地系統(tǒng)的分析能力�����,基于海量安全數(shù)據(jù)集上的機(jī)器學(xué)習(xí)算法和應(yīng)用尤其如此���。
