Cybersecurity insiders發佈了一篇SOC 的演變不僅僅是自動化
網路安全運營中心的演進不僅僅是自動化
網路安全運營中心(SOC)是網路安全的核心,但是要管理無止盡的警報,進行深入的調查,並及時回應事件,都是讓即使最強大的 SOC 也難以應付的挑戰。這個問題的核心是人力瓶頸——要僱用足夠的網路安全分析師來處理來自眾多安全產品的警報,並進行手動的工作,是不可能的。這是一個行業內的普遍問題,隨著安全產品發現越來越多的威脅,但 SOC 卻被他們無法處理和快速回應的警報淹沒。在最近的一次訪談中,Radiant Security 的行銷主管 Orion Cassetto 介紹了一個創新的解決方案,利用人工智慧(AI)突破這些障礙,簡化運營,並開啟 SOC 自動化的新時代。
AI 副駕駛——智慧的 SOC 自動化
Radiant Security 的 AI 副駕駛是一個先進的平台,將 AI 整合到 SOC 的工作流程中,達到三個關鍵的成果:大幅提升生產力,發現遺漏的威脅,並顯著加快回應時間。Radiant 的 AI 副駕駛基本上自動化了安全分類和調查的整個過程。它對每個警報進行深入的分析,並為每個事件生成一個自定義的回應計畫。分析師可以根據組織的情況和偏好,決定如何回應,有三種自動化的層次:(1)手動,提供分析師的逐步指示,(2)互動,自動化步驟,或(3)完全自動化。
秘訣:AI 的角色
AI 副駕駛的力量來自於複雜的 AI 引擎,它是基於豐富的數據集訓練的,包括 MITRE 攻擊框架,客戶數據,以及系統的輸出等輸入。這使得一個動態的問答過程,模擬和自動化安全分析師通常會手動執行的查詢和推理序列。但它與人類分析師相比如何呢?系統的準確性一貫達到高達 90% 以上的範圍,這是一個超越大多數分析師的精確水平。這種卓越的表現突顯了它與人類判斷的優越性,不僅在準確性上,還在容量上。人類分析師受到時間限制的約束,不能總是對每個警報進行深入的調查,而系統的自動化則允許每次都進行徹底和詳細的分析,24×7。這樣,系統不僅提供了更高的準確性,也提供了更大的調查深度,使其成為一個真正先進的解決方案。
我們需要演進的原因
我們經常被提醒,從事網路間諜活動和入侵的對手正在演進,但也有一些內部的壓力迫使我們適應。讓我們看看最主要的三個原因:
1. 攻擊面的擴大
隨著企業和組織受到技術進步的賦能,數據的擴散和在越來越多的環境中的保護是必要的,而且在未來的幾年中只會加速。身份的大規模數字化,數據湖,以及雲端和邊緣運算,都導致了攻擊面的指數級擴大。
2. 缺乏訓練有素的安全人才
在網路安全界最關鍵的問題之一,是顯然缺乏具有必要技能和培訓的人力,以跟上攻擊面的擴大。根據 ISC2 的最新研究,全球行業可以從超過 300 萬名額外的網路安全專業人員中受益。IT 基礎設施和數字商業的自然增長是增加網路安全工作需求的驅動因素之一,並且因此擴大了威脅景觀,同時激勵了網路犯罪分子。
3. 過多的工具產生的過多的警報
解決安全人才短缺的一個簡單(也很流行)的解決方案,是在 SOC 運營中越來越多地實施自動化工具。在基本層面上,這允許傳統的單調任務得到維持,同時釋放我們的團隊,專注於需要手動努力的認知決策。然而,這些自動化工具傳遞了一個永無止境的警報流,其中一些是假陽性,一些難以識別和成功分類,而另一些只是提供資訊。自動化工具傳遞的大量資訊,因此也給 SOC 團隊帶來了利弊。
總之,現代的 SOC 需要一個堅實的程序基礎,但也需要一套依賴於人類創新的新程序。AI 副駕駛就是這樣一個解決方案,它可以幫助我們的 SOC 團隊演進,提高效率,減少風險,並應對不斷變化的威脅。
詳情請看: