信息來源:安全牛
ESG 的最新研究顯示��,企業(yè)安全運(yùn)營和安全分析已經(jīng)陷入泥沼��,只有做出重大改變才能脫離困境�。為了探究當(dāng)下企業(yè)安全分析和運(yùn)營面臨的挑戰(zhàn),ESG 調(diào)查了來自北美各行業(yè)中大型企業(yè)的 406 位 IT 和安全專業(yè)人員���,得出以下結(jié)論:
1. 安全分析和運(yùn)營越來越難
近三分之二 (63%) 的受訪者聲稱���,如今的安全分析和運(yùn)營比兩年前更加困難。外部變化和內(nèi)部挑戰(zhàn)更是讓難度每日劇增�。
外圍調(diào)查結(jié)果顯示,41% 的安全專家認(rèn)為��,由于威脅形勢的快速變化�,現(xiàn)在安全分析和運(yùn)營變得更加困難,30% 的專業(yè)人士認(rèn)為��,是攻擊面的不斷增加導(dǎo)致難度持續(xù)上升,安全團(tuán)隊(duì)別無選擇���,只能咬牙緊跟外部動態(tài)和趨勢��。在企業(yè)內(nèi)部調(diào)查中�,35% 的受訪者認(rèn)為安全性分析和運(yùn)營比過去變得更加困難�,主要因?yàn)榘踩珨?shù)據(jù)比兩年前要多得多;34% 的受訪者表示���,安全警報的數(shù)量在過去兩年中有所增加�,另有 29% 的人抱怨很難跟上安全運(yùn)營任務(wù)的數(shù)量和復(fù)雜性��。
2. 安全數(shù)據(jù)管理難題:更多數(shù)據(jù)�,更多問題
與兩年前相比,將近三分之一的企業(yè)和組織 (32%) 為網(wǎng)絡(luò)安全分析和運(yùn)營采集的數(shù)據(jù)大幅度增加�,44% 的企業(yè)和組織安全數(shù)據(jù)有小幅增長。而且��,與過去相比��,有 52% 的組織保留安全 “熱數(shù)據(jù)”的時間更長���。大量的實(shí)時和歷史安全數(shù)據(jù)形成了體積龐大的數(shù)據(jù)存儲庫,這些數(shù)據(jù)庫既昂貴又難以管理。
安全分析師們經(jīng)常抱怨的問題就是:數(shù)據(jù)太多反而找不到數(shù)據(jù)���。
3. 傳統(tǒng)的本地SIEM方案并不完整
高達(dá) 70% 的企業(yè)仍然依賴安全信息和事件管理 (SIEM) 系統(tǒng)來進(jìn)行安全分析和運(yùn)營���。此外,很多企業(yè)的安全運(yùn)營中心 (SOC) 團(tuán)隊(duì)還圍繞 SIEM 配備了用于威脅檢測/響應(yīng)��、調(diào)查/查詢�、威脅情報分析以及流程自動化/編排的其他工具。這就產(chǎn)生了一個問題:如果 SIEM 是安全分析和運(yùn)營的 “重器”���,為什么企業(yè)還要補(bǔ)充那么多其他工具��?
研究表明��,盡管 SIEM 擅長發(fā)現(xiàn)已知威脅并生成安全與合規(guī)性報告��,但它并不適合檢測未知威脅或其他安全運(yùn)營場景�。而且���,有 23% 的安全專家表示 SIEM 平臺需要大量的人員培訓(xùn)和經(jīng)驗(yàn)�,而 21% 的人則認(rèn)為 SIEM 需要不斷調(diào)優(yōu)并消耗大量運(yùn)營資源才能發(fā)揮作用�?�?傊?�,SIEM 不會很快失寵�,但顯然還遠(yuǎn)遠(yuǎn)不夠��。
4. 人才和技能短缺仍然普遍存在
四分之三的受訪者認(rèn)為��,網(wǎng)絡(luò)安全技能短缺已經(jīng)影響了組織的安全分析和運(yùn)營���。CISO 不能簡單地通過招兵買馬來擺脫困境嗎���?這并非易事:70% 的安全專家表示,招募和雇用 SOC 人員比較困難或者非常困難���。很多企業(yè)已經(jīng)開始通過購買可管理安全服務(wù)(托管服務(wù))來解決技能差距�。今天��,有 74% 的組織使用可管理安全服務(wù)(用于安全分析和運(yùn)營)�,而 90% 的企業(yè)計劃在將來增加對托管安全服務(wù)的使用。不久的將來���,SOC 將不再是一個人(企業(yè))的戰(zhàn)斗���。
5. 安全分析和運(yùn)營技術(shù)正在遷移到公有云
過去,CISO 傾向于對本地安全分析和運(yùn)營技術(shù)進(jìn)行手動控制��,但眼下趨勢已變���。研究表明�,有 41% 的組織更喜歡基于云的安全分析和運(yùn)營技術(shù)��,而另外 17% 的組織愿意試點(diǎn)云安全分析和運(yùn)營技術(shù)�。
為什么要遷移到云?最明顯的原因是要規(guī)避內(nèi)部安全分析和安全運(yùn)營基礎(chǔ)設(shè)施的成本和復(fù)雜性(即數(shù)據(jù)采集/處理器��、負(fù)載平衡器�、服務(wù)器、存儲設(shè)備等的部署和運(yùn)營)���。更為重要的一點(diǎn)是�,很多企業(yè)的安全運(yùn)營主管認(rèn)為�,可動態(tài)擴(kuò)展的云計算和存儲資源可以提供遠(yuǎn)高于本地系統(tǒng)的分析能力,基于海量安全數(shù)據(jù)集上的機(jī)器學(xué)習(xí)算法和應(yīng)用尤其如此�。
