- A+
技术可以使分析人员免于手动和繁琐任务的负担,因此他们可以在最高水平的能力下运作。
移动装配线是工业革命最伟大的创新之一。 1913年之前,当亨利福特在他的工厂安装了第一条移动装配线时,汽车是由人类执行手动,平凡的任务而建造的。 想象一下,人类在工厂车间手绘汽车 - 这就是现实。 我认为今天的安全运营中心(SOC)团队被困在21世纪的数字手绘汽车中。
Greg Martin InfoSec Insider作者
简而言之,企业SOC团队因警报过载而被烧毁。 当今许多SOC中仍然存在的手动和机械过程效率低且容易出错。 SOC分析师每天都在与日益复杂和高度组织的攻击者展开斗争。 然而,由于他们陷入警觉分类,假负/决策树,转椅工具关联,RSS和电子邮件列表情报,他们无法发挥其真正的潜力。 团队花费更多时间处理日常威胁并保持SIEM正常运行,而不是保护他们的组织免受最危险,最有针对性的攻击。
现在是SOC革命的时候了。 我发现,作为一个行业,我们在很大程度上避免了现代化安全运营流程的争论。 也许第一步就是接受。 “是的,它已被打破,但我们如何解决这个问题呢?”我有一些想法。
- 人不是问题。 每次发生违规行为时,我们都应该避免将责任归咎于安全专业人员。 这无助于我们改进。
- 技术不是问题。 我们拥有出色的安全技术,随着数据驱动分析和基于AI的防御,这些工具只会越来越好。
- 流程有一些明显的缺陷。 很少有人愿意解决这个问题 - 也许是因为改变太难了。 雇用更多聪明人或采用闪亮的新产品让我们感觉像是在动针。 例如,Equifax在大规模数据泄露之前一年花在安全上的费用是多少? 一份报告说2.5亿美元 - 这应该足以让这一点正确。
人类现在并且可能永远是我们抵御网络威胁的最好防御 - 特别是当他们拥有支持他们的正确技术时。 再次强调支持它们的技术。
随着开源大数据,人工智能软件以及整个企业普遍采用云原生服务的重大进展,我们终于达到了技术,政策和机遇的完美风暴,以完全重新考虑安全运营。 现在是我们发展安全运营流程的时候了,这样我们才能利用技术和最优秀的人才来取得真正的进步。 我们可以通过关注三个重要领域来做到这一点。
- 检测现代攻击。 现代攻击是多部分和多阶段的,可以持续数天或数周。 攻击者的模式 - 排列和攻击媒介的组合 - 很大,但现代计算集群可以检测到“黑客行为分析”。
- 使用AI自动进行安全性分析。 今天的AI技术能够确定哪些警报代表真正的黑客活动。 使用基于深度学习/神经网络的学习,AI系统可以学习和适应,从而可以识别多部分和多阶段攻击的信号。 这有助于安全分析师专注于真正的威胁,而不是噪音。
- 发展“预测性SOC”。想象一下,全球SOC可以从每个组织的攻击中学习,并部署AI模型来检测最新的威胁。 黑客经常在攻击活动中使用相同的技术和工具。 作为一个行业,我们需要到达一个我们正在共享分析和数据(实时或接近实时)的地方,以便AI模型预测明天的攻击。
现在是重新构想安全运营的时候了。 我们正处在历史上,当时我们拥有技术,可以让我们的分析师摆脱手工和繁琐任务的负担,这样他们就可以在最高水平的能力下运作。 让我们实现这一目标。
Greg Martin是JASK的首席执行官和联合创始人。 他是着名的网络安全专家,拥有FBI,特勤局和NASA的网络安全顾问经验。 在JASK之前,Martin创立了Anomali(前身为ThreatStream)领先的威胁情报平台公司。
