随着组织对其 IT 基础设施进行现代化改造并增加云服务的采用,安全团队在人员配置、预算和技术方面面临着新的挑战。为了跟上步伐,安全计划必须不断发展,以保护现代 IT 环境,利用有限的资源抵御快速发展的威胁。这需要重新思考传统的安全策略,并将投资重点放在云安全、人工智能驱动的防御和技能开发等能力上。前进的道路要求安全团队在技术和网络风险的变化中保持敏捷、创新和战略性。
为了满足这些安全需求,安全团队必须重点关注三个关键转型:
- 从封闭的供应商生态系统演变为开放、协作、社区驱动的防御
- 通过人工智能和自动化扩展安全专业知识
- 从以工具为中心的防御演变为以分析师为动力的结果
实现安全运营计划现代化最有效的步骤之一是升级核心 SIEM 平台。作为 SOC 团队的中枢神经系统,SIEM 收集、关联和分析整个 IT 环境中的数据以检测威胁。通过实施云原生 SIEM 或增强本地系统来优化此功能,为扩展安全工作奠定了数字基础。
通过升级的 SIEM 获得安全警报和事件的高保真视图,组织可以获得识别和响应网络风险(无论来源如何)所需的可见性和上下文。优先考虑改进可以加速将孤立的安全实践转变为集成的、智能驱动的功能,以应对当前和新兴的挑战。
开放防御:寻找隐藏在“安全数据大海捞针”中的真正“威胁针”
数据爆炸增加了攻击面——这是一个最显着的副作用,会产生代价高昂的连锁反应。更多数据。更多警报。需要更多时间来筛选警报。
SIEM 在分析这些数据方面发挥着关键作用,但是,将如此大量的数据发送到 SIEM 进行分析的现实变得越来越具有挑战性,尤其是跨多个云。在某些情况下,发送所有数据是不必要的。随着云以及云中身份和数据安全工具的发展,通常只需要从这些系统收集警报并将其导入到SIEM,而不是摄取所有数据。
当今的 SIEM 应围绕开放标准和技术进行设计,以便它们可以轻松地仅收集关键见解,同时仍然为安全团队提供在需要时访问底层遥测数据的权限。
在许多情况下,不需要进行此类检测;在其他情况下,安全团队只需要收集数据即可进行进一步的特定威胁分析。在这些情况下,具有实时数据收集、专为分析云规模数据而设计的数据仓库功能、针对实时分析和亚秒级搜索时间进行优化的 SIEM 就是解决方案。组织需要访问本地和云中的数据,而无需处理供应商和数据锁定。
这种开放式 SIEM 方法可帮助组织利用数据湖、日志平台和检测技术方面的现有投资。它还确保组织在安全基础设施成熟时能够灵活地选择正确的数据保留和安全工具。
但是,提高数据可见性只是解决方案的一部分。安全团队需要准确且最新的检测逻辑来发现威胁,因为安全团队目前在及时检测威胁的技能方面面临挑战。结合定期更新的威胁情报使分析师能够加快威胁检测速度。而且,利用 SIGMA 等通用、共享的检测规则语言,随着威胁的发展,客户可以快速导入直接从安全社区众包的新的、经过验证的检测。
人工智能和自动化加速威胁检测和响应
大多数组织都在 SIEM 或其他威胁检测技术(例如 EDR 中检测恶意行为,但事实上,SOC 专业人员可以根据最近的全球调查,他们在一个典型工作日内应该查看的警报不到一半 (49%)。利用自动化和人工智能可确保建议和见解的透明度和来源,从而帮助安全团队解决高优先级警报并交付预期结果。
为此,SIEM 需要采用基于风险的创新分析以及由图形分析、威胁情报和洞察、联合搜索和人工智能提供支持的自动调查。有效的 SIEM 平台必须利用人工智能来增强人类认知。自调整功能可减少嘈杂的警报,将分析师的注意力集中在最需要的地方。虚拟协助可以帮助处理例行分类,使安全专家能够实施战略计划,而强大的机器学习模型可以发现基于规则的系统隐藏的攻击模式和事件错过。一些最先进的 SIEM 丰富并关联了整个组织环境中的发现,因此分析会自动集中于最重要的攻击。</span>
为了与安全团队建立所需的信任,SIEM 需要在其建议和见解中提供透明度和来源。通过将可解释性纳入每次评估的方式中,安全分析师可以有信心信任建议,并针对环境中的威胁更快、更果断地采取行动。
供应商在开发当今的 SIEM 时需要考虑的另一个方面是将决策和响应操作转移给由响应者执行初始警报分析的分析师。在许多情况下,他们希望在风险平衡适合组织的情况下实现完全自动化。传统上,此类流程和决策是在单独的SOAR 系统中进行适当协调和定制的,在某些情况下是与不同的团队进行协调和定制的。今天的 SIEM 需要能够实现更敏捷的左移,以将完整的 SOAR 功能纳入 SIEM 工作流程和 UX 中。这种方法使组织能够根据风险平衡几乎完全自动化响应流程,并在需要时将安全团队引入流程以验证建议的操作。
从以工具为中心的防御演变为以分析人员为中心的防御
早期的 SIEM 平台以收集和关联大量安全数据为中心。这些第一代系统在日志聚合方面表现出色,但由于大量警报充斥着误报,使分析人员负担过重。为了跟上步伐,团队添加了新工具来管理事件、跟踪威胁和自动化任务。但这种技术驱动的方法创造了复杂、分散的环境,降低了生产力。
现代 SIEM 解决方案将重点转移到人类分析师在整个威胁生命周期的体验上。下一代平台不是产生更多数据点,而是利用人工智能在噪音中寻找信号。基于云的分析可以发现难以识别的攻击模式,以提供预测功能并丰富整个组织环境中的发现结果,以便分析师可以专注于最重要的攻击。为了在分析师工作流程中有效地工作,开放式架构和集成系统可见性必须嵌入到每个 SIEM 中。
在现代 SIEM 的例子中,工具和技术是为分析师服务的,而不是相反。
