原作者:克里斯·米南
网络安保在过去十年中取得了很大提高。改良的规范(例如 MITRE)、要挟情报、流程和技术极大地协助提高了可见性、智能化消息搜集 (SOAR) 和许多手动义务。此外,新的剖析 (UEBA/SIEM) 和端点 (EDR) 技术可以检测并经常阻止整类要挟。如今,咱们看到了攻打面治理 ( ASM)等技术的出现,这些技术开局协助组织变得愈加被动并集中精神以取得最大影响。
但是,向云的迁徙和攻打面的相关扩展如今大大参与了环境的复杂性。2022 年IBMSecurity X-Force 云要挟态势报举报现,混合云环境的继续扩展对安保团队来说是一项严重应战。X-Force 观察到新的云破绽与前一年相比参与了 28%。此外,在云环境中运转的易受攻打的面向群众的运行程序已成为攻打者的经常出现指标,组织或者难以对环境中运转的一切运行程序启动编目以确保一切运行程序都已打好补丁。
这反上来会造成三件事出现:
更少数据:须要搜集更多安保遥测数据以提供必要的可见性。由于大少数此类数据是在云平台中生成的,因此参与了老本和复杂性,尤其是在云之间转移数据并非收费的状况下。
更多工具:部署和经常使用更多安保工具来为新的云基础设备(例如,CWPP、ITDR、CDR 等)提供包全、可见性和照应。在许多状况下,出于权宜之计(“嘿,这实用于技术 X”)或出于财务要素(“嘿,这对云 Y 是收费的”),安保团队确实从 DevSecOps 或 CIO 那里取得了新的安保工具。
更多的用户体验复杂性和更多的警报:更多的工具、更多的数据、更多的移动部件造成安保团队在上游于攻打者方面面临更大的阻力。他们面临着额外的集成和性能上班,以及成为专家的新用户体验,由于他们从一个转向另一个以追捕要挟。依据2023 年 IBM 环球安保运营中心钻研,接受考查的 SOC 专业人员示意,他们在典型的上班日内只审查了 49% 的警报,其中近三分之二是低优先级或误报。此外,81% 的受访者示意,人工考查拖慢了他们的速度——这是要挟照应期间最经常出现的连累。
最后,老本越来越成为决策的一个要素。一切组织都在寻觅经过应用现有投资和应用“蕴含”的性能以及提高团队消费劲来控制老本的方法。可怜的是,呈指数级增长的数据量、额外的安保工具以及具备复杂且低廉的容许模型的传统工具正在带来渺小的阻力。
毫不奇异,63% 的组织寻求提高其安保运营中心的检测和照应才干。
混合云现代化 SOC 所需的 DNA
为了应答这些应战,咱们须要从新思索一些推进咱们做出当天的选择的优先事项。
首先,咱们须要针对剖析师体验启动设计。从历史上看,咱们的行业不时十分受工具驱动,这在过后是重中之重。但如今咱们须要关注咱们的团队、他们的消费劲和上班满意度。咱们须要降落他们必定处置的 UX 复杂性(多样性、言语、词汇)。
其次,咱们须要应用内置的人工智能、智能化和专业常识来扩展咱们当天安保团队中的专家和英雄。你知道那些——他们只是让一切反常,他们可以在一切复杂的基础设备中追踪要挟。当须要紧急执行和答案时,他们是您所依赖的。智能化和人工智能是成功这一指标所需的**。允许 AI 的技术可以为剖析师成功惨重的上班,允许从要挟考查到倡导的弥补措施的一切上班。依据IBM 商业价值钻研院的数据,驳回 AI 可以显着缩小网络安保事情的检测天数和考查期间,区分缩小多达 50% 和 29%。
最后,咱们须要启用放开系统和社区协作。云环球的事实是,安保性将跨多个系统联结起来。组织须要选用他们将应用哪些安保系统,而这种形式不会参与复杂性或给他们的团队带来专有生态系统和内容的累赘。促成协作集成和要挟检测内容的放开规范越来越成为相对必要的。依据 SANS Institute 的数据,66% 的受访安保团队示意他们正在优先思索集成以协助改善他们的安保运营。
发表推出 IBM Security QRadar Suite
15 年来,QRadar 不时是市场上游的 SIEM,在NDR、UEBA、AI(Watson for Cyber)的剖析方面启动了少量翻新。如今,新的IBM Security QRadar Suite曾经扩展到还包括EDR/XDR 和SOAR,以及新的云原生日志剖析性能 (Log Insights),以成功经济高效的搜集、剖析、可视化和超极速搜索云规模和轻松的数据。将这些性能一致到一个繁多的模块化平台上,成功逐渐驳回,为用户提供一个完整的 TDIR 系统。随着每个处置打算的驳回,它会在简直没有增量培训或集成的状况下为剖析师体验参与性能、高低文、洞察力和智能化。除了允许安保团队所需的一切**性能外,新的 QRadar Suite还专门围绕咱们之前讨论的包全混合云的现代化 SOC所需的 DNA 需求而设计:
放开系统和社区协作
新的 QRadar Suite 不只建设在一个放开的混合云平台 (OpenShift) 上,该平台允许云原生的弹性、弹性架构以及选用在何处和如何(例如,容许软件或 SaaS),而且还在整个环节中应用放开规范。
例如,QRadar Suite 中的一切产品都允许关联来自第三方的安保发现以及联结搜索,使组织能够应用他们当天领有的工具并选用他们未来经常使用的工具,一切这些都无需移动他们的数据.该套件还在要挟检测、考查和照应边疆生应用 MITRE 和 SIGMA——使安保团队能够以社区的速度无缝移动,以跟上攻打者的步调。
内置人工智能、智能化和专业常识
该套件嵌入了人工智能和智能化翻新,这些翻新已被证实可以在第一年将警报和优先级排序速度平均提高 55%,照应期间平均提高8 倍,考查速度提高 60 倍。此外,该套件还包括来自 X-Force 团队的不时更新的要挟检测和照应内容,以及从与环球数千家客户协作中搜集的见地。
该套件还包括一个新的翻新智能化考查性能,该性能将跨多个系统智能考查警报(应用联结搜索、要挟情报和 SIGMA),无论它来自何处,并将考查结果以及倡导的照应执行汇总到一个繁多的、易于经常使用的期间表,供剖析师极速审查和执行。
专为剖析师体验而设计
QRadar Suite 围绕一致的剖析师体验构建,可在整个 EDR/XDR、SIEM、SOAR 和安保日志治理 (SLM) 的考查、照应和要挟搜索上班流程中协助安保剖析师。这种新的一致体验不只实用于 IBM QRadar Suite,还实用于 40 多种第三方技术,由于它基于放开规范和联结搜索。该体验是与咱们的安保团队和专家一同设计的,并融入了他们的专业常识和见地,为他们带来“什么?”、“谁?”、“哪里?”、“何时?”以及关键的“我应该做什么”接上去做什么?他们须要一个便捷易用的上班流程。
QRadar Suite 专为满足当今和未来的安保运营和混合云环境的需求而构建,可协助 SOC 剖析师更快地做出更好的决策,同时增强他们的要挟检测和照应才干。面对不确定性和复杂性,宿愿对其 SOC 启动现代化变革的组织会感到愈加自信和遭到允许。
编译自:IBMsecurityintelligence